WPScan per Android è un importante utility dedicata al Pen Testing per analizzare e cercare falle di sicurezza all’interno della piattaforma di Blogging WordPress, sviluppata da Alessio dalla Piazza e disponibile gratuitamente nel Play Store. L’intento di Alessio è quello di portare sui nostri Smartphone l’omonimo WPScan per pc e presente anche nella distribuzione di sicurezza informatica BackBox, come il progetto originale mantiene la sua origine Open Source ed è infatti possibile collaborare allo sviluppo dell’applicazione o correggere errori partendo dal codice sorgente presente su GitHub.
Attualmente WPScan supporta le seguenti features:
- Analisi della versione di WordPress;
- Individuazione di vulnerabilità (basandosi sulla versione di WP);
- Enumerazione degli utenti;
- Riconoscimento dei plugin installati (html analiycs + brute force);
- Riconoscimento dei temi installati (html analytics + brute force);
- Individuazione del TimThumb 0day.
Al termine della scansione è possibile visualizzare direttamente il report oppure inviarlo per eMail in formato HTML, di seguito vi riporto l’esempio di una scansione sul nostro blog:
WPScan è stato in grado di individuare gli autori di questo blog e alcuni plug-in, ci tengo a precisare che Over Security addotta una minuziosa strategia per nascondere quanti più dettagli possibili all’utente (onde evitare attacchi malevoli) e pertanto il report non è “ricco” come lo sarebbe scansionando un tradizionale blog.
Infine mi complimento con Alessio per l’ottimo lavoro svolto e mi auguro che tutti noi sapremo aiutarlo per migliorare l’applicativo.
