Kali LinuxでWPSCANを使用してWordPress Webサイトをスキャンしようとしていますが、エラーが発生しています。スキャンを開始するたびにWPSCANが2〜3分間実行され、一時停止してしばらくするとエラーが発生します「ホストがダウンしているようです」しかし、Webサイトは完全に正常に動作しています。
スキャナーがそのWebサイトをスキャンするのをブロックしているWAFがあると思いますが、そのWebサイトで実行されているサービスを確認するためにNMAPを使用してポートスキャンを実行したときに、WAFがインストールされていないことがわかりました。また、WAFW00Fを使用して、どのWAFが存在するかを確認しましたが、何も見つかりませんでした。
それで、そのウェブサイトのスキャンを妨げているものをどのように検索しますか?また、そのウェブサイトがどのようなメカニズムを使用しているのか教えてください。
私がwpscanで使用しているコマンドはwpscan -u https://www.websitename.com
別のポートでリッスンするのではなく、Webサーバーの前にあるため、ポートスキャンを使用してWebアプリケーションファイアウォール(WAF)を検出することはできません。変更したヘッダーまたは追加したCookieからWAFを検出する可能性がありますが、それ自体は明示する必要はありません。 wafw00f.py
すでに使用しているものは、これらの方法を自動化された方法で利用していますが、それが見つからない場合、それは証拠ではなく、何もありません。
WAFは他のプログラムと同様に脆弱である可能性があるため、実際に使用するWAFについてのヒントを与えない方が良いでしょう。脆弱なWAFが脆弱なアプリケーションを保護している場合、攻撃に対して十分な大きさの穴がある可能性があります。
Webサーバーの前にWAFがある場合は、スキャナーを背後に配置するだけです。できない場合は、おそらく許可されていないため、この質問はトピックから外れます。可能であれば、サイトを個別にテストするという考えは良いことです。もう1つのオプションは、サイトをテスト環境にコピーし、そこでテストを実行して、何も破壊されないようにすることです。