Verkkotyökalut vai mistä aloittaa pentesterina?

Jatkaa puhua hyödyllisistä työkaluista pentestereille. Uudessa artikkelissa tarkastellaan työkaluja verkkosovellusten turvallisuuden analysointiin.

Kollegamme BeLove Olen jo tehnyt jotain tällaista kokoelma noin seitsemän vuotta sitten. On mielenkiintoista nähdä, mitkä työkalut ovat säilyttäneet ja vahvistaneet asemaansa ja mitkä ovat jääneet taustalle ja ovat nykyään harvoin käytössä.


Huomaa, että tämä sisältää myös Burp Suiten, mutta siitä ja sen hyödyllisistä laajennuksista tulee erillinen julkaisu.

Sisältö:

• kasata
• Altdns
• vesivyöhyke
• MassDNS
• nsec3map
• Acunetix
• Suora haku
• wfuzz
• ffuf
• gobusteri
• Arjun
• LinkFinder
• JSParser
• sqlmap
• NoSQLMap
• oxml_xxe
• tplmap
• CeWL
• Heikko passi
• AEM_hacker
• JoomScan
• WPScan

kasata

kasata - Go-työkalu DNS-aliverkkotunnusten etsimiseen ja luetteloimiseen sekä ulkoisen verkon kartoittamiseen. Amass on OWASP-projekti, jonka tarkoituksena on näyttää miltä organisaatiot Internetissä näyttävät ulkopuoliselle. Amass hankkii aliverkkotunnusten nimet eri tavoilla; työkalu käyttää sekä aliverkkotunnusten rekursiivista luetteloa että avoimen lähdekoodin hakuja.

Amass käyttää toiminnan aikana saatuja IP-osoitteita löytääkseen toisiinsa yhdistettyjä verkkosegmenttejä ja autonomisia järjestelmänumeroita. Kaikkea löydettyä tietoa käytetään verkkokartan rakentamiseen.

Plussat:

• Tiedonkeruutekniikoita ovat mm.
  * DNS - sanakirjahaku aliverkkotunnuksista, bruteforce-aliverkkotunnuksista, älykäs haku mutaatioiden avulla löydettyjen aliverkkotunnusten perusteella, käänteiset DNS-kyselyt ja DNS-palvelimien etsiminen, joissa on mahdollista tehdä vyöhykkeen siirtopyyntö (AXFR);

  * Avoimen lähdekoodin haku - Ask, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;

  * Hae TLS-sertifikaattitietokannoista - Censys, CertDB, CertSpotter, Crtsh, Entrust;

  * Hakukoneen sovellusliittymien käyttäminen - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;

  * Hae Internet-verkkoarkistoista: ArchiveIt, ArchiveToday, Arquivo, LoCARchive, OpenUKArchive, UKGovArchive, Wayback;

• Integrointi Maltegon kanssa;
• Tarjoaa täydellisimmän kattavuuden DNS-aliverkkotunnusten etsimiseen.

Miinukset:

• Ole varovainen amass.netdomainsin kanssa - se yrittää ottaa yhteyttä jokaiseen IP-osoitteeseen tunnistetussa infrastruktuurissa ja hankkia verkkotunnusten nimet käänteisistä DNS-hauista ja TLS-varmenteista. Tämä on "korkean profiilin" tekniikka, se voi paljastaa tiedustelutoimintasi tutkittavassa organisaatiossa.
• Suuri muistinkulutus, voi kuluttaa jopa 2 Gt RAM-muistia eri asetuksissa, mikä ei salli tämän työkalun käyttämistä pilvessä halvalla VDS:llä.

Altdns

Altdns — Python-työkalu sanakirjojen kokoamiseen DNS-aliverkkotunnusten luetteloimiseksi. Voit luoda monia muunnelmia aliverkkotunnuksista käyttämällä mutaatioita ja permutaatioita. Tätä varten käytetään sanoja, joita usein löytyy aliverkkotunnuksista (esim. testi, dev, staging), kaikki mutaatiot ja permutaatiot sovelletaan jo tunnettuihin aliverkkotunnuksiin, jotka voidaan lähettää Altdns-syötteeseen. Tulos on luettelo mahdollisista aliverkkotunnusten muunnelmista, ja tätä luetteloa voidaan myöhemmin käyttää DNS:n raakavoimaan.

Plussat:

• Toimii hyvin suurten tietojoukkojen kanssa.

vesivyöhyke

vesivyöhyke - tunnettiin aiemmin paremmin toisena aliverkkotunnusten hakutyökaluna, mutta kirjoittaja itse luopui tästä edellä mainitun Amassin hyväksi. Nyt aquatone on kirjoitettu uudelleen Go:ssa ja se on suunnattu enemmän verkkosivustojen alustavaan tiedustelemiseen. Tätä varten aquatone käy läpi määritetyt verkkotunnukset ja etsii verkkosivustoja eri porteista, minkä jälkeen se kerää kaikki tiedot sivustosta ja ottaa kuvakaappauksen. Kätevä verkkosivustojen nopeaan alustavaan tutkimiseen, jonka jälkeen voit valita hyökkäysten prioriteettikohteet.

Plussat:

• Tulos luo ryhmän tiedostoja ja kansioita, joita on kätevä käyttää, kun työskentelet edelleen muiden työkalujen kanssa:
  * HTML-raportti kerätyillä kuvakaappauksilla ja vastausten otsikoilla ryhmitelty samankaltaisuuden mukaan;

  * Tiedosto, jossa on kaikki URL-osoitteet, joista verkkosivustoja löydettiin;

  * Tiedosto tilastot ja sivutiedot;

  * Kansio tiedostoineen, jotka sisältävät vastausotsikot löydetyistä kohteista;

  * Kansio tiedostoineen, jotka sisältävät löydettyjen kohteiden vastauksen rungon;

  * Kuvakaappauksia löydetyistä verkkosivustoista;

• Tukee työskentelyä XML-raporttien kanssa Nmapista ja Masscanista;
• Käyttää päätöntä Chromea/Chromiumia kuvakaappausten hahmontamiseen.

Miinukset:

• Se voi herättää tunkeutumisen havaitsemisjärjestelmien huomion, joten se vaatii konfiguroinnin.

Kuvakaappaus on otettu yhdestä aquatonen vanhoista versioista (v0.5.0), jossa DNS-aliverkkotunnushaku toteutettiin. Vanhemmat versiot löytyvät osoitteesta julkaisusivu.

MassDNS

MassDNS on toinen työkalu DNS-aliverkkotunnusten etsimiseen. Sen tärkein ero on, että se tekee DNS-kyselyitä suoraan useille erilaisille DNS-selvijöille ja tekee sen huomattavalla nopeudella.

Plussat:

• Nopea - pystyy ratkaisemaan yli 350 tuhatta nimeä sekunnissa.

Miinukset:

• MassDNS voi aiheuttaa huomattavaa kuormitusta käytössä oleville DNS-selvittäjille, mikä voi johtaa kyseisten palvelimien käyttökieltoon tai valituksiin Internet-palveluntarjoajaltasi. Lisäksi se asettaa suuren kuormituksen yrityksen DNS-palvelimille, jos heillä on niitä ja jos ne ovat vastuussa verkkotunnuksista, joita yrität ratkaista.
• Ratkaisijoiden luettelo on tällä hetkellä vanhentunut, mutta jos valitset rikkinäiset DNS-selvittimet ja lisäät uusia tunnettuja, kaikki on kunnossa.

Kuvakaappaus aquatone versiosta 0.5.0

nsec3map

nsec3map on Python-työkalu täydellisen luettelon saamiseksi DNSSEC-suojatuista toimialueista.

Plussat:

• Löytää nopeasti DNS-vyöhykkeiden isännät minimimäärällä kyselyitä, jos DNSSEC-tuki on käytössä vyöhykkeellä;
• Sisältää John the Ripper -laajennuksen, jota voidaan käyttää tuloksena olevien NSEC3-hajautusten murtamiseen.

Miinukset:

• Monia DNS-virheitä ei käsitellä oikein;
• NSEC-tietueiden käsittelyssä ei ole automaattista rinnastusta - sinun on jaettava nimiavaruus manuaalisesti;
• Korkea muistin kulutus.

Acunetix

Acunetix — Web-haavoittuvuusskanneri, joka automatisoi verkkosovellusten turvallisuuden tarkistusprosessin. Testaa sovellusta SQL-injektioiden, XSS:n, XXE:n, SSRF:n ja monien muiden verkkohaavoittuvuuksien varalta. Kuten muutkin skannerit, monet verkkohaavoittuvuudet eivät kuitenkaan korvaa pentesteriä, koska se ei löydä monimutkaisia ​​haavoittuvuuksien ketjuja tai haavoittuvuuksia logiikasta. Mutta se kattaa paljon erilaisia ​​haavoittuvuuksia, mukaan lukien erilaiset CVE:t, jotka pentesteri on saattanut unohtaa, joten se on erittäin kätevä vapauttamaan sinut rutiinitarkistuksista.

Plussat:

• Alhainen väärien positiivisten tulosten taso;
• Tulokset voidaan viedä raportteina;
• Suorittaa suuren määrän tarkistuksia erilaisten haavoittuvuuksien varalta;
• Useiden isäntien rinnakkaisskannaus.

Miinukset:

• Ei ole olemassa duplikointialgoritmia (Acunetix pitää toiminnaltaan samanlaisia ​​sivuja erilaisina, koska ne johtavat eri URL-osoitteisiin), mutta kehittäjät työskentelevät sen parissa.
• Vaatii asennuksen erilliselle web-palvelimelle, mikä vaikeuttaa VPN-yhteydellä varustettujen asiakasjärjestelmien testaamista ja skannerin käyttöä paikallisen asiakasverkon eristetyssä segmentissä;
• Tutkittava palvelu voi aiheuttaa melua esimerkiksi lähettämällä liian monta hyökkäysvektoreita sivuston yhteydenottolomakkeeseen, mikä vaikeuttaa suuresti liiketoimintaprosesseja;
• Se on patentoitu ja näin ollen ei ilmainen ratkaisu.

Suora haku

Suora haku — Python-työkalu hakemistojen ja tiedostojen raa'alle pakottamiselle verkkosivustoilla.

Plussat:

• Osaa erottaa oikeat "200 OK" -sivut "200 OK" -sivuista, mutta tekstillä "sivua ei löydy";
• Mukana on kätevä sanakirja, jossa on hyvä tasapaino koon ja hakutehokkuuden välillä. Sisältää vakiopolut, jotka ovat yhteisiä monille CMS- ja teknologiapinoille;
• Sen oma sanakirjamuoto, jonka avulla voit saavuttaa hyvän tehokkuuden ja joustavuuden tiedostojen ja hakemistojen luetteloinnissa;
• Kätevä tulostus - pelkkä teksti, JSON;
• Se voi rajoittaa - tauko pyyntöjen välillä, mikä on elintärkeää kaikille heikoille palveluille.

Miinukset:

• Laajennukset on välitettävä merkkijonona, mikä on hankalaa, jos sinun on välitettävä useita laajennuksia kerralla;
• Jotta voit käyttää sanakirjaasi, sitä on muokattava hieman Dirsearch-sanakirjamuotoon maksimaalisen tehokkuuden saavuttamiseksi.

wfuzz

wfuzz - Python-verkkosovellusfuzzeri. Todennäköisesti yksi tunnetuimmista web-fasereista. Periaate on yksinkertainen: wfuzzin avulla voit jakaa HTTP-pyynnön mihin tahansa kohtaan, mikä mahdollistaa GET/POST-parametrien, HTTP-otsikoiden, mukaan lukien evästeen ja muiden todennusotsikoiden vaiheittaisen vaiheen. Samalla se on kätevä myös yksinkertaiselle hakemistojen ja tiedostojen raa'alle voimalle, jota varten tarvitset hyvän sanakirjan. Siinä on myös joustava suodatinjärjestelmä, jolla voit suodattaa sivustolta tulevia vastauksia eri parametrien mukaan, mikä mahdollistaa tehokkaiden tulosten saavuttamisen.

Plussat:

• Monitoiminen - modulaarinen rakenne, kokoonpano kestää muutaman minuutin;
• Kätevä suodatus- ja sumutusmekanismi;
• Voit jakaa mitä tahansa HTTP-menetelmää sekä minkä tahansa paikan HTTP-pyynnössä.

Miinukset:

• Kehitteillä.

ffuf

ffuf - Go:n web-fuzzer, joka on luotu wfuzzin "kuvaksi ja kaltaiseksi", mahdollistaa tiedostojen, hakemistojen, URL-polkujen, GET/POST-parametrien nimet ja arvot, HTTP-otsikot, mukaan lukien Host-otsikon raakaa voimaa varten. virtuaalisista isännistä. wfuzz eroaa veljestään suuremmalla nopeudella ja eräillä uusilla ominaisuuksilla, esimerkiksi se tukee Dirsearch-muotoisia sanakirjoja.

Plussat:

• Suodattimet ovat samanlaisia ​​kuin wfuzz-suodattimet, niiden avulla voit määrittää joustavasti raakaa voimaa;
• Voit hämärtää HTTP-otsikkoarvoja, POST-pyyntötietoja ja URL-osoitteen eri osia, mukaan lukien GET-parametrien nimet ja arvot;
• Voit määrittää minkä tahansa HTTP-menetelmän.

Miinukset:

• Kehitteillä.

gobusteri

gobusteri — Go-työkalu tiedusteluun, jossa on kaksi toimintatapaa. Ensimmäistä käytetään raa'an pakottamaan tiedostoja ja hakemistoja verkkosivustolla, toista käytetään DNS-aliverkkotunnusten raa'an pakottamiseen. Työkalu ei alun perin tue tiedostojen ja hakemistojen rekursiivista luetteloimista, mikä tietysti säästää aikaa, mutta toisaalta jokaisen uuden päätepisteen raa'a voima sivustolla on käynnistettävä erikseen.

Plussat:

• Nopea toiminta sekä DNS-aliverkkotunnusten raa'alla voimalla että tiedostojen ja hakemistojen raa'alla voimalla.

Miinukset:

• Nykyinen versio ei tue HTTP-otsikoiden asettamista.
• Oletusarvoisesti vain osa HTTP-tilakoodeista (200,204,301,302,307) katsotaan kelvollisiksi.

Arjun

Arjun - työkalu piilotettujen HTTP-parametrien raakavoimaan GET/POST-parametreissa sekä JSONissa. Sisäänrakennetussa sanakirjassa on 25 980 sanaa, jotka Ajrun tarkistaa lähes 30 sekunnissa. Temppu on siinä, että Ajrun ei tarkista jokaista parametria erikseen, vaan tarkistaa ~1000 parametria kerrallaan ja katsoo, onko vastaus muuttunut. Jos vastaus on muuttunut, se jakaa nämä 1000 parametria kahteen osaan ja tarkistaa, mikä näistä osista vaikuttaa vastaukseen. Siten yksinkertaista binaarihakua käyttämällä löydetään parametri tai useita piilotettuja parametreja, jotka vaikuttivat vastaukseen ja voivat siten olla olemassa.

Plussat:

• Suuri nopeus binaarihaun ansiosta;
• Tuki GET/POST-parametreille sekä parametreille JSON-muodossa;

Burp Suiten laajennus toimii samalla periaatteella - param-kaivosmies, joka on myös erittäin hyvä piilotettujen HTTP-parametrien löytämisessä. Kerromme sinulle siitä lisää tulevassa Burpia ja sen laajennuksia käsittelevässä artikkelissa.

LinkFinder

LinkFinder — Python-skripti linkkien etsimiseen JavaScript-tiedostoista. Hyödyllinen piilotettujen tai unohdettujen päätepisteiden/URL-osoitteiden etsimiseen verkkosovelluksesta.

Plussat:

• Nopeasti;
• Chromelle on LinkFinderiin perustuva erityinen laajennus.

.

Miinukset:

• Epämukava loppupäätelmä;
• Ei analysoi JavaScriptiä ajan myötä;
• Melko yksinkertainen logiikka linkkien etsimiseen - jos JavaScript on jotenkin hämärtynyt tai linkit alun perin puuttuvat ja luodaan dynaamisesti, se ei löydä mitään.

JSParser

JSParser on Python-skripti, joka käyttää Tornado и JSBeautifier jäsentääksesi suhteellisia URL-osoitteita JavaScript-tiedostoista. Erittäin hyödyllinen AJAX-pyyntöjen havaitsemiseen ja luettelon laatimiseen API-menetelmistä, joiden kanssa sovellus on vuorovaikutuksessa. Toimii tehokkaasti LinkFinderin kanssa.

Plussat:

• JavaScript-tiedostojen nopea jäsentäminen.

sqlmap

sqlmap on luultavasti yksi tunnetuimmista työkaluista verkkosovellusten analysointiin. Sqlmap automatisoi SQL-injektioiden haun ja käytön, toimii useiden SQL-murteiden kanssa, ja sen arsenaalissa on valtava määrä erilaisia ​​tekniikoita, jotka vaihtelevat suorista lainauksista monimutkaisiin vektoreihin aikaperusteisiin SQL-injektioihin. Lisäksi siinä on monia tekniikoita eri DBMS-järjestelmien jatkohyödyntämiseen, joten se ei ole hyödyllinen vain SQL-injektioiden skannerina, vaan myös tehokkaana työkaluna jo löydettyjen SQL-injektioiden hyödyntämiseen.

Plussat:

• Suuri määrä erilaisia ​​tekniikoita ja vektoreita;
• Pieni määrä vääriä positiivisia;
• Paljon hienosäätövaihtoehtoja, erilaisia ​​tekniikoita, kohdetietokanta, peukalointikomentosarjat WAF:n ohittamiseen;
• Kyky luoda ulostulovedos;
• Monet erilaiset toimintaominaisuudet, esimerkiksi joillekin tietokantoille - tiedostojen automaattinen lataus/purku, komentojen suorituskyvyn saaminen (RCE) ja muut;
• Tuki suoralle yhteydelle tietokantaan käyttämällä hyökkäyksen aikana saatuja tietoja;
• Voit lähettää tekstitiedoston Burpin tuloksista syötteenä – kaikkia komentorivin määritteitä ei tarvitse kirjoittaa manuaalisesti.

Miinukset:

• On vaikea räätälöidä esimerkiksi omien shekkien kirjoittamista, koska asiakirjoja on vähän;
• Ilman asianmukaisia ​​asetuksia se suorittaa epätäydellisiä tarkistuksia, mikä voi olla harhaanjohtavaa.

NoSQLMap

NoSQLMap — Python-työkalu NoSQL-injektioiden haun ja hyödyntämisen automatisointiin. Sitä on kätevää käyttää paitsi NoSQL-tietokannassa, myös suoraan tarkastettaessa NoSQL:ää käyttäviä verkkosovelluksia.

Plussat:

• Kuten sqlmap, se ei vain löydä mahdollista haavoittuvuutta, vaan myös tarkistaa sen hyödyntämismahdollisuuden MongoDB:lle ja CouchDB:lle.

Miinukset:

• Ei tue NoSQL for Redis, Cassandra, kehitys on käynnissä tähän suuntaan.

oxml_xxe

oxml_xxe — työkalu XXE:n XML-hyödykkeiden upottamiseen erilaisiin tiedostotyyppeihin, jotka käyttävät XML-muotoa jossain muodossa.

Plussat:

• Tukee monia yleisiä muotoja, kuten DOCX, ODT, SVG, XML.

Miinukset:

• PDF-, JPEG- ja GIF-tuki ei ole täysin käytössä;
• Luo vain yhden tiedoston. Tämän ongelman ratkaisemiseksi voit käyttää työkalua docem, joka voi luoda suuren määrän hyötytiedostoja eri paikkoihin.

Yllä olevat apuohjelmat tekevät erinomaista työtä XXE:n testaamisessa ladattaessa XML:ää sisältäviä asiakirjoja. Mutta muista myös, että XML-muotojen käsittelijöitä löytyy monissa muissakin tapauksissa, esimerkiksi XML:ää voidaan käyttää tietomuotona JSONin sijaan.

Siksi suosittelemme, että kiinnität huomiota seuraavaan arkistoon, joka sisältää suuren määrän erilaisia ​​hyötykuormia: PayloadsAllTheThings.

tplmap

tplmap - Python-työkalu palvelinpuolen mallien lisäyksen haavoittuvuuksien automaattiseen tunnistamiseen ja hyödyntämiseen; sen asetukset ja liput ovat samanlaisia ​​kuin sqlmap. Käyttää useita erilaisia ​​tekniikoita ja vektoreita, mukaan lukien sokea injektio, ja sillä on myös tekniikoita koodin suorittamiseen ja mielivaltaisten tiedostojen lataamiseen/lataamiseen. Lisäksi hänen arsenaalissaan on tekniikoita kymmenelle eri mallikoneelle ja joitain tekniikoita eval()-tyyppisten koodiinjektioiden etsimiseen Pythonista, Rubysta, PHP:stä ja JavaScriptistä. Jos onnistuu, se avaa interaktiivisen konsolin.

Plussat:

• Suuri määrä erilaisia ​​tekniikoita ja vektoreita;
• Tukee monia mallien renderöintikoneita;
• Paljon toimintatekniikoita.

CeWL

CeWL - Rubyn sanakirjageneraattori, joka on luotu poimimaan ainutlaatuisia sanoja tietyltä verkkosivustolta, seuraa sivuston linkkejä tiettyyn syvyyteen. Ainutlaatuisten sanojen koottua sanakirjaa voidaan myöhemmin käyttää raa'an voiman salasanojen kohdistamiseen palveluille tai brute force -tiedostoille ja -hakemistoille samalla verkkosivustolla tai hyökätä tuloksena saatuja tiivisteitä vastaan ​​hashcatin tai John the Ripperin avulla. Hyödyllinen, kun laaditaan "kohde" luettelo mahdollisista salasanoista.

Plussat:

• Helppokäyttöinen.

Miinukset:

• Sinun on oltava varovainen hakusyvyyden kanssa, jotta et kaappaa ylimääräistä verkkotunnusta.

Heikko passi

Heikko passi - palvelu, joka sisältää monia sanakirjoja yksilöllisillä salasanoilla. Erittäin hyödyllinen erilaisiin salasanojen murtamiseen liittyviin tehtäviin aina yksinkertaisesta online-tilien raa'asta voimasta kohdepalveluissa ja vastaanotettujen hajautusten off-line-raakavoimasta. hashcat tai John The Ripper. Se sisältää noin 8 miljardia salasanaa, joiden pituus vaihtelee välillä 4-25 merkkiä.

Plussat:

• Sisältää sekä erityisiä sanakirjoja että sanakirjoja yleisimmillä salasanoilla - voit valita tietyn sanakirjan omiin tarpeisiisi;
• Sanakirjoja päivitetään ja täydennetään uusilla salasanoilla;
• Sanakirjat on lajiteltu tehokkuuden mukaan. Voit valita sekä nopean online-raakavoiman että yksityiskohtaisen salasanojen valinnan laajasta sanakirjasta, jossa on viimeisimmät vuodot;
• Siellä on laskin, joka näyttää ajan, joka kuluu laitteidesi salasanojen poistamiseen.

Haluaisimme sisällyttää työkalut CMS-tarkistuksiin erilliseen ryhmään: WPScan, JoomScan ja AEM-hakkeri.

AEM_hacker

AEM hakkeri on työkalu Adobe Experience Manager (AEM) -sovellusten haavoittuvuuksien tunnistamiseen.

Plussat:

• Pystyy tunnistamaan AEM-sovellukset syötteeseen lähetettyjen URL-osoitteiden luettelosta;
• Sisältää komentosarjoja RCE:n hankkimiseksi lataamalla JSP-kuori tai hyödyntämällä SSRF:ää.

JoomScan

JoomScan — Perl-työkalu haavoittuvuuksien havaitsemisen automatisointiin Joomla CMS:ää otettaessa.

Plussat:

• Pystyy löytämään kokoonpanovirheitä ja ongelmia järjestelmänvalvojan asetuksissa;
• Luetteloi Joomla-versiot ja niihin liittyvät haavoittuvuudet, samoin yksittäisille komponenteille;
• Sisältää yli 1000 hyväksikäyttöä Joomla-komponenteille;
• Loppuraporttien tulostus teksti- ja HTML-muodossa.

WPScan

WPScan - WordPress-sivustojen skannaustyökalu, jonka arsenaalissa on haavoittuvuuksia sekä itse WordPress-moottorille että joillekin lisäosille.

Plussat:

• Pystyy listaamaan paitsi vaaralliset WordPress-laajennukset ja -teemat, myös saamaan luettelon käyttäjistä ja TimThumb-tiedostoista;
• Voi suorittaa raakoja hyökkäyksiä WordPress-sivustoille.

Miinukset:

• Ilman asianmukaisia ​​asetuksia se suorittaa epätäydellisiä tarkistuksia, mikä voi olla harhaanjohtavaa.

Yleensä eri ihmiset pitävät erilaisista työvälineistä: ne ovat kaikki omalla tavallaan hyviä, ja se, mistä toinen pitää, ei välttämättä sovi toiselle ollenkaan. Jos olet sitä mieltä, että olemme epäoikeudenmukaisesti jättäneet huomiotta jonkin hyvän apuohjelman, kirjoita siitä kommentteihin!

Lähde: will.com