• STATISTIQUES
  • Il y a eu un total de 2 membres et 9451 visiteurs sur le site dans les dernières 24h pour un total de 9 453 personnes!


    Membres: 2 434
    Discussions: 3 585
    Messages: 32 832
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [FR] apprendre-a-manipuler
    Site d'apprentissage de la manipulation d'autrui.
    Hacking
    [EN] osix
    Site de challenge qui utilise un système de level on chaque épreuve doit être réussie avant d'accédÃ...
    Challenges
    [FR] Le top web
    Nous offrons une sélection la plus large possible de resources webmaster gratuites, hébergement gratuit...
    Webmaster
    [FR] Kalkulators
    Ce projet a plusieurs buts, le premier étant l’étude de toutes formes cryptographiques, le cot&ea...
    Cryptographie
    [FR] Le site du zero
    Découvrez gratuitement la programmation (C, C++, PHP, MySQL, XHTML, CSS...), Linux, le Mapping, la modé...
    Programmation
    [EN] HackQuest
    Logic: 12, JavaScript: 14, Applet: 6, CrackIt: 13, Crypto: 11, Internet: 3, Exploit: 7, Stegano: 12, Flash: 1, Programmi...
    Challenges
    [FR] Developpez.net
    Un forum communautaire qui se veut pour les développeurs en générale. Avec presque 500 000 membr...
    Programmation

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!

    €



Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
[Python] WordPress Auditor
25-06-2013, 11h12
Message : #1
0pc0deFR
Non-enregistré



 
[Python] WordPress Auditor
Hello,

voici un petit script Python permettant d'auditer la code source de vos plugins WordPress à la recherche de vulnérabilités. Actuellement seul les injections SQL et les CSRF sont détectés. Du coté des SQLi, pas mal de faux positifs peuvent ressortir car je n'ai pas encore trouvé de solution pour mieux filtrer la détection sans avoir trop de faux négatifs. Pour les CSRF, je pense qu'il est opérationnel avec un rapport proche de zéro faux négatifs/faux positifs.

le github qui va bien: https://github.com/0pc0deFR/Bulk_Tools

Je réfléchis à comment intégrer la détection des XSS donc je suis ouvert à toutes suggestions.

Le fonctionnement est assez simple, je détecte les API de sécurisations mises à disposition dans le core WordPress 3.5.X. comme (pour la CSRF) wp_nonce_create(). De base si un développeur utilise ses propres API de sécurisations l'outil détectera un faux positif mais il suffit de compléter les tableaux avec ses propres API pour ne plus détecter de faux positifs.
positive (1) negative (0) Répondre
25-06-2013, 16h13 (Modification du message : 25-06-2013, 16h25 par InstinctHack.)
Message : #2
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
RE: [Python] WordPress Auditor
io,

je connais pas trop wp, mais pour detecter les xss, tu peux peut-être faire un truc du genre :
Code PHP :

<?php
function echo_($string){echo $string;}
function test($function)
{
ob_start();
call_user_func($function,'<script>alert("lame");</script>');
$data = ob_get_contents();
ob_end_clean();
$arf=array('<','>');
foreach($arf as $value)
{if(stripos($data,$value)!==false)
return true;}return false;
}
var_dump(test('echo_'));
var_dump(test('htmlentities'));
 


sortie :
Code :
bool(true)
bool(false)
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!"
j'ai pas compris pourquoi, je croyais qu'on était dans la même classe
+1 (0) -1 (0) Répondre
26-06-2013, 12h28
Message : #3
0pc0deFR
Non-enregistré



 
RE: [Python] WordPress Auditor
Je vais voir ce que fait ton code et tester ça. Si vous avez d'autres remarques/suggestions, je suis preneur.
positive (0) negative (0) Répondre
18-07-2013, 09h09
Message : #4
0pc0deFR
Non-enregistré



 
RE: [Python] WordPress Auditor
J'ai update en version 2.3 avec plusieurs petites nouveautés:
- Gestion des archives zip (les plugins wordpress sont à dispo au format zip)
- Gestion des fichiers uniques ou directory
- Réorganisation du code
- Meilleur détection des CSRF et SQLi

J'ai pas eu le temps de faire des tests pour l'XSS mais ça va venir car je commence à avoir quelques idées.

PS: Le code n'est pas commenté mais il est très simple de compréhension. Si certains veulent des commentaires, je peux en mettre sans problème.

En Espérant que ça serve à la communauté.
positive (0) negative (0) Répondre
29-09-2013, 16h44
Message : #5
0pc0deFR
Non-enregistré



 
RE: [Python] WordPress Auditor
Pour la petite info, le projet fait son chemin et voici quelques petites nouveautés:
Version 2.4:
- Détection des XSS;
- Possibilité d'ignorer certaines extensions;
- Récupération de l'URI du développeur.

La version 2.5 est en préparation:
- Grosse amélioration de la détection XSS;
- Mise en place des logs;
- Quelques corrections de bugs.
positive (0) negative (0) Répondre
01-10-2013, 15h09
Message : #6
CyberSee Hors ligne
Admin fondateur de N-PN
*******



Messages : 1,721
Sujets : 287
Points: 158
Inscription : Jan 2012
RE: [Python] WordPress Auditor
Tu devrais aller faire un tour dans le code source de WPScan... Il y a peut-être des idées ou des méthodes qui pourraient t'être utiles. http://wpscan.org/ Il a été écrit en ruby.
Code PHP :
<?php
$pape 
"pape"; echo $pape
// Le $pape en string!
?>
+1 (0) -1 (0) Répondre
07-12-2013, 11h13
Message : #7
0pc0deFR
Non-enregistré



 
RE: [Python] WordPress Auditor
Hello,

la nouvelle version, 2.8, intègre la détection des Files Inclusions avec une petite optimisation de la fonction log et de la fonction de détection XSS.
positive (0) negative (0) Répondre
25-01-2014, 19h12
Message : #8
0pc0deFR
Non-enregistré



 
RE: [Python] WordPress Auditor
Hello,

voici une version en ligne basée sur Wordpress Auditor: http://0pc0defr.fr/wp-check/
positive (0) negative (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  [Python]Situer mon niveau. InforMods 19 5,591 10-11-2016, 00h03
Dernier message: ZeR0-@bSoLu
  [PYTHON] un bot IRC basique darcosion 1 1,045 13-06-2016, 20h40
Dernier message: Yttrium
  [python] ANBU ::: TCP Session Hunter St0rn 2 1,279 25-02-2016, 18h45
Dernier message: otherflow
  [Python] Une autre façon de gérer les Virtualenv et Packages thxer 2 1,090 18-01-2016, 12h06
Dernier message: thxer
  [Python] rot script ark 9 2,738 08-03-2015, 00h37
Dernier message: ark
  [Python] Todo Manager ark 5 1,698 03-03-2015, 10h55
Dernier message: ark
  [python] Un décorateur pour inventorier les objets b0fh 1 1,217 04-12-2014, 17h50
Dernier message: thxer
  [python] UPnP Scanner St0rn 2 1,136 29-10-2014, 14h50
Dernier message: St0rn
  [python] Buffer Overflow : EBP et EIP St0rn 0 799 25-10-2014, 12h58
Dernier message: St0rn
  [Python] QuickHex thxer 9 2,519 15-08-2014, 20h26
Dernier message: sakiir

Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut