Aufgabe 4: Learn anything about vulnerability scanning
Yippi die erste Schwachstelle gefunden. :D, aber der Reihe nach.
Unter vulnerability Scanning versteht man laut wikipedia das automatisierte Scannen eines Computers oder Netzwerk nach Schwachstellen mittels eines Programms.
Ich habe mich für die Schwachstellen Scanning auf die besonders für Blogs beliebte Anwendung WordPress entschieden. Hierfür gibt es online die Möglichkeit unter https://hackertarget.com/wordpress-security-scan/ den gewünschten WordPress-Blog zu analysieren. Geprüft wird, ob die WordPress-Version auslesbar ist, die installierten Plugins und weiteres. All diese Informationen werden standardmäßig von WordPress zur Verfügung gestellt, können aber auch Angriffsfläche für Hacker bieten beispielsweise wenn hierdurch ans Licht kommt, das eine veraltete WordPress-Version läuft mit bekannten Sicherheitslücken. Zur Behebung gibt es meist kostenlose Plugins, die jene Schwachstelle beheben und somit einen Angriff erschweren.
Konkret aufgedeckt habe ich in diesem Zuge, das beim analysierten Blog die LoginURL über die default-URL www.meinblog.wordpress.com/wp-login erreichbar ist. Damit hat der Hacker schon die halbe Miete, nun gilt es nur noch das Login ausfindig zu machen. Abhilfe schafft hier ein kleines schlankes Plugin WPS Hide Login und schon ist die Login-Seite nur über eine eigenes festgelegte URL erreichbar und auf der Standardseite /wp-login gibt es nur noch eine 404 zu sehen.
Die gefundene Schwachstelle habe ich natürlich weitergegeben. :)
White Hat Petra ;)
Test Paradies 