[Python] WordPress Auditor
|
25-06-2013, 11h12
Message : #1
|
|
0pc0deFR Non-enregistré |
[Python] WordPress Auditor
Hello,
voici un petit script Python permettant d'auditer la code source de vos plugins WordPress à la recherche de vulnérabilités. Actuellement seul les injections SQL et les CSRF sont détectés. Du coté des SQLi, pas mal de faux positifs peuvent ressortir car je n'ai pas encore trouvé de solution pour mieux filtrer la détection sans avoir trop de faux négatifs. Pour les CSRF, je pense qu'il est opérationnel avec un rapport proche de zéro faux négatifs/faux positifs. le github qui va bien: https://github.com/0pc0deFR/Bulk_Tools Je réfléchis à comment intégrer la détection des XSS donc je suis ouvert à toutes suggestions. Le fonctionnement est assez simple, je détecte les API de sécurisations mises à disposition dans le core WordPress 3.5.X. comme (pour la CSRF) wp_nonce_create(). De base si un développeur utilise ses propres API de sécurisations l'outil détectera un faux positif mais il suffit de compléter les tableaux avec ses propres API pour ne plus détecter de faux positifs. |
|
25-06-2013, 16h13
(Modification du message : 25-06-2013, 16h25 par InstinctHack.)
Message : #2
|
|
InstinctHack
Posting Freak Messages : 1,366 Sujets : 184 Points: 299 Inscription : Dec 2011 |
RE: [Python] WordPress Auditor
io,
je connais pas trop wp, mais pour detecter les xss, tu peux peut-être faire un truc du genre : Code PHP :
sortie : Code : bool(true) Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!" |
|
26-06-2013, 12h28
Message : #3
|
|
0pc0deFR Non-enregistré |
RE: [Python] WordPress Auditor
Je vais voir ce que fait ton code et tester ça. Si vous avez d'autres remarques/suggestions, je suis preneur.
|
|
18-07-2013, 09h09
Message : #4
|
|
0pc0deFR Non-enregistré |
RE: [Python] WordPress Auditor
J'ai update en version 2.3 avec plusieurs petites nouveautés:
- Gestion des archives zip (les plugins wordpress sont à dispo au format zip) - Gestion des fichiers uniques ou directory - Réorganisation du code - Meilleur détection des CSRF et SQLi J'ai pas eu le temps de faire des tests pour l'XSS mais ça va venir car je commence à avoir quelques idées. PS: Le code n'est pas commenté mais il est très simple de compréhension. Si certains veulent des commentaires, je peux en mettre sans problème. En Espérant que ça serve à la communauté. |
|
29-09-2013, 16h44
Message : #5
|
|
0pc0deFR Non-enregistré |
RE: [Python] WordPress Auditor
Pour la petite info, le projet fait son chemin et voici quelques petites nouveautés:
Version 2.4: - Détection des XSS; - Possibilité d'ignorer certaines extensions; - Récupération de l'URI du développeur. La version 2.5 est en préparation: - Grosse amélioration de la détection XSS; - Mise en place des logs; - Quelques corrections de bugs. |
|
01-10-2013, 15h09
Message : #6
|
|
CyberSee
Admin fondateur de N-PN Messages : 1,721 Sujets : 287 Points: 157 Inscription : Jan 2012 |
RE: [Python] WordPress Auditor
Tu devrais aller faire un tour dans le code source de WPScan... Il y a peut-être des idées ou des méthodes qui pourraient t'être utiles. http://wpscan.org/ Il a été écrit en ruby.
Code PHP : <?php |
|
07-12-2013, 11h13
Message : #7
|
|
0pc0deFR Non-enregistré |
RE: [Python] WordPress Auditor
Hello,
la nouvelle version, 2.8, intègre la détection des Files Inclusions avec une petite optimisation de la fonction log et de la fonction de détection XSS. |
|
25-01-2014, 19h12
Message : #8
|
|
0pc0deFR Non-enregistré |
RE: [Python] WordPress Auditor |
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
[Python]Situer mon niveau. | InforMods | 19 | 955 |
10-11-2016, 00h03 Dernier message: ZeR0-@bSoLu |
|
[PYTHON] un bot IRC basique | darcosion | 1 | 137 |
13-06-2016, 20h40 Dernier message: Yttrium |
|
[python] ANBU ::: TCP Session Hunter | St0rn | 2 | 222 |
25-02-2016, 18h45 Dernier message: otherflow |
|
[Python] Une autre façon de gérer les Virtualenv et Packages | thxer | 2 | 122 |
18-01-2016, 12h06 Dernier message: thxer |
|
[Python] rot script | ark | 9 | 437 |
08-03-2015, 00h37 Dernier message: ark |
|
[Python] Todo Manager | ark | 5 | 347 |
03-03-2015, 10h55 Dernier message: ark |
|
[python] Un décorateur pour inventorier les objets | b0fh | 1 | 156 |
04-12-2014, 17h50 Dernier message: thxer |
|
[python] UPnP Scanner | St0rn | 2 | 179 |
29-10-2014, 14h50 Dernier message: St0rn |
|
[python] Buffer Overflow : EBP et EIP | St0rn | 0 | 124 |
25-10-2014, 12h58 Dernier message: St0rn |
|
[Python] QuickHex | thxer | 9 | 419 |
15-08-2014, 20h26 Dernier message: sakiir |
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)