WebSorrow : un scanner de vulnérabilité pour CMS

flattr this!

WebSorrow est un petit scanner de vulnérabilités pour les applications web dont l’objet est de se concentrer sur les 3 CMS majeurs : Drupal, Joomla et WordPress. Il est capable de détecter des collections de plugins de ces CMS, leur version et ainsi d’identifier des vulnérabilités potencielles. A noter aussi qu’il est doté d’un mode « furtif » avec l’option -ninja qui se veut un scan indétectable. Vous pourrez en outre effectuer le balayage en utilisant un proxy avec l’option -proxy. Autre particularité sympathique, il utilise pour le bruteforcing la base de données de Dirbuster

Usage :

HOST OPTIONS:
    -host [host]     -- Defines host to use.
    -proxy [ip:port] -- use a proxy server


SCANS:
    -S    --  Standard misconfig scans including: agresive directory indexing, banner grabbing,
              language detection, robots.txt, HTTP 200 response testing, etc.
    -auth --  Dictionary attack to find login pages (not passwords)
    -Cp [dp | jm | wp | all] -- scan for cms plugins.
                dp = drupal
                jm = joomla
                wp = wordpress 
    -Fd   --  look for common interesting files and dirs
    -Fp   --  Fingerprint http server based on behavior
    -Ws   --  scan for Web Services on host such as: hosting porvider, 
              blogging service, favicon fingerprinting, and cms version info
    -Db   --  BruteForce Directories with the big dirbuster Database
    -e    --  everything. run all scans


OTHER:
    -I      --  Passively find interesting strings in responses
    -ninja  --  A light weight and undetectable scan that uses bits and peices 
                from other scans (it is not recomended to use with any other scans 
                if you want to be stealthy)
    -ua     --  useragent to use (default is firefox linux)

Exemples :

Scan d’une application wordpress :

$ perl Wsorrow.pl -host exemple.org -Cp wp

Exemple d’un scan complet en mode furtif :

$ perl Wsorrow.pl -host exemple.org -e -Ws -ninja