WPScan Android – WordPress Security Scanner

WPScan per Android è un importante utility dedicata al Pen Testing per analizzare e cercare falle di sicurezza all’interno della piattaforma di Blogging WordPress, sviluppata da Alessio dalla Piazza e disponibile gratuitamente nel Play Store. L’intento di Alessio è quello di portare sui nostri Smartphone l’omonimo WPScan per pc e presente anche nella distribuzione di sicurezza informatica BackBox, come il progetto originale mantiene la sua origine Open Source ed è infatti possibile collaborare allo sviluppo dell’applicazione o correggere errori partendo dal codice sorgente presente su GitHub.

Attualmente WPScan supporta le seguenti features:

• Analisi della versione di WordPress;
• Individuazione di vulnerabilità (basandosi sulla versione di WP);
• Enumerazione degli utenti;
• Riconoscimento dei plugin installati (html analiycs + brute force);
• Riconoscimento dei temi installati (html analytics + brute force);
• Individuazione del TimThumb 0day.

Al termine della scansione è possibile visualizzare direttamente il report oppure inviarlo per eMail in formato HTML, di seguito vi riporto l’esempio di una scansione sul nostro blog:

WPScan è stato in grado di individuare gli autori di questo blog e alcuni plug-in, ci tengo a precisare che Over Security addotta una minuziosa strategia per nascondere quanti più dettagli possibili all’utente (onde evitare attacchi malevoli) e pertanto il report non è “ricco” come lo sarebbe scansionando un tradizionale blog.

Infine mi complimento con Alessio per l’ottimo lavoro svolto e mi auguro che tutti noi sapremo aiutarlo per migliorare l’applicativo.