Веб-құралдар немесе пентестер ретінде неден бастау керек?

Біз жалғастырамыз пентестер үшін пайдалы құралдар туралы айту. Жаңа мақалада біз веб-қосымшалардың қауіпсіздігін талдау құралдарын қарастырамыз.

Біздің әріптес BeLove Мен қазірдің өзінде осындай нәрсені жасадым құрастыру шамамен жеті жыл бұрын. Қай құралдардың өз орнын сақтап, нығайтқаны, ал қайсысының фонға түсіп, қазір сирек қолданылатыны қызық.


Бұған Burp Suite де кіретінін ескеріңіз, бірақ ол және оның пайдалы плагиндері туралы бөлек жарияланым болады.

Мазмұны:

• Жинал
• Altdns
• акватон
• MassDNS
• nsec3map
• Acunetix
• Іздеу
• wfuzz
• уфф
• гобустер
• Арджун
• LinkFinder
• JSParser
• sqlmap
• NoSQLMap
• oxml_xxe
• tplmap
• CeWL
• Әлсіз жол
• AEM_hacker
• JoomScan
• WPScan

Жинал

Жинал - DNS ішкі домендерін іздеуге және санауға және сыртқы желіні салыстыруға арналған Go құралы. Amass - бұл Интернеттегі ұйымдардың бөгде адамға қандай болатынын көрсетуге арналған OWASP жобасы. Amass ішкі домен атауларын әртүрлі жолдармен алады; құрал қосалқы домендердің рекурсивті тізімін де, ашық бастапқы іздеулерді де пайдаланады.

Бір-бірімен байланысты желі сегменттерін және автономды жүйе нөмірлерін табу үшін Amass жұмыс кезінде алынған IP мекенжайларын пайдаланады. Барлық табылған ақпарат желі картасын құру үшін пайдаланылады.

Артықшылықтары:

• Ақпаратты жинау әдістеріне мыналар жатады:
  * DNS - қосалқы домендерді, bruteforce қосалқы домендерін сөздік іздеу, табылған қосалқы домендерге негізделген мутацияларды пайдалана отырып смарт іздеу, кері DNS сұраулары және аймақты тасымалдау сұрауын (AXFR) жасауға болатын DNS серверлерін іздеу;

  * Ашық бастапқы іздеу - Ask, Baidu, Bing, CommonCrawl, DNSDB, DNSDumpster, DNSTable, Dogpile, Exalead, FindSubdomains, Google, IPv4Info, Netcraft, PTRArchive, Riddler, SiteDossier, ThreatCrowd, VirusTotal, Yahoo;

  * TLS сертификатының дерекқорларын іздеу - Censys, CertDB, CertSpotter, Crtsh, Entrust;

  * Іздеу жүйесінің API интерфейстерін пайдалану - BinaryEdge, BufferOver, CIRCL, HackerTarget, PassiveTotal, Robtex, SecurityTrails, Shodan, Twitter, Umbrella, URLScan;

  * Интернеттегі веб-мұрағаттарды іздеу: ArchiveIt, ArchiveToday, Arquivo, LoCArchive, OpenUKAarchive, UKGovArchive, Wayback;

• Мальтегомен интеграция;
• DNS ішкі домендерін іздеу тапсырмасын барынша толық қамтуды қамтамасыз етеді.

Кемшіліктері:

• amass.netdomains сайтымен абай болыңыз - ол анықталған инфрақұрылымдағы әрбір IP мекенжайымен байланысуға тырысады және кері DNS іздеулері мен TLS сертификаттарынан домен атауларын алады. Бұл «жоғары профильді» әдіс, ол сіздің тергеудегі ұйымдағы барлау әрекеттеріңізді аша алады.
• Жадты жоғары тұтыну, әртүрлі параметрлерде 2 ГБ жедел жадты тұтынуы мүмкін, бұл бұл құралды арзан VDS-де бұлтта іске қосуға мүмкіндік бермейді.

Altdns

Altdns — DNS ішкі домендерін санауға арналған сөздіктерді құрастыруға арналған Python құралы. Мутациялар мен ауыстыруларды пайдалана отырып, ішкі домендердің көптеген нұсқаларын жасауға мүмкіндік береді. Ол үшін ішкі домендерде жиі кездесетін сөздер пайдаланылады (мысалы: сынақ, әзірлеу, кезеңдік), барлық мутациялар мен ауыстырулар Altdns енгізуіне жіберуге болатын белгілі қосалқы домендерге қолданылады. Шығару бар болуы мүмкін қосалқы домендердің вариацияларының тізімі болып табылады және бұл тізімді кейінірек DNS дөрекі күші үшін пайдалануға болады.

Артықшылықтары:

• Үлкен деректер жинақтарымен жақсы жұмыс істейді.

акватон

акватон - бұрын қосалқы домендерді іздеудің басқа құралы ретінде танымал болды, бірақ автордың өзі жоғарыда аталған Amass пайдасына осыдан бас тартты. Енді aquatone Go бағдарламасында қайта жазылды және веб-сайттарда алдын ала барлау үшін көбірек бейімделген. Ол үшін aquatone көрсетілген домендерден өтіп, әртүрлі порттардағы веб-сайттарды іздейді, содан кейін ол сайт туралы барлық ақпаратты жинап, скриншот жасайды. Веб-сайттарды жылдам алдын ала барлау үшін ыңғайлы, содан кейін шабуылдар үшін басымдықты нысандарды таңдауға болады.

Артықшылықтары:

• Шығару басқа құралдармен әрі қарай жұмыс істегенде пайдалануға ыңғайлы файлдар мен қалталар тобын жасайды:
  * Ұқсастық бойынша топтастырылған скриншоттар мен жауап атаулары бар HTML есебі;

  * Веб-сайттар табылған барлық URL мекенжайлары бар файл;

  * Статистика және бет деректері бар файл;

  * Табылған мақсаттардан жауап тақырыптары бар файлдары бар қалта;

  * Табылған нысандардан жауап мәтіні бар файлдары бар қалта;

  * Табылған веб-сайттардың скриншоттары;

• Nmap және Masscan XML есептерімен жұмыс істеуді қолдайды;
• Скриншоттарды көрсету үшін басы жоқ Chrome/Chromium пайдаланады.

Кемшіліктері:

• Ол басып кіруді анықтау жүйелерінің назарын аударуы мүмкін, сондықтан ол конфигурацияны қажет етеді.

Скриншот DNS ішкі домен іздеуі жүзеге асырылған aquatone (v0.5.0) ескі нұсқаларының бірі үшін түсірілді. Ескі нұсқаларды мына жерден табуға болады шығаратын беті.

MassDNS

MassDNS DNS ішкі домендерін табудың тағы бір құралы болып табылады. Оның басты айырмашылығы - ол DNS сұрауларын көптеген әртүрлі DNS шешушілеріне тікелей жасайды және мұны айтарлықтай жылдамдықпен жасайды.

Артықшылықтары:

• Жылдам - ​​секундына 350 мыңнан астам атауларды шешуге қабілетті.

Кемшіліктері:

• MassDNS пайдаланылып жатқан DNS шешушілеріне айтарлықтай жүктеме тудыруы мүмкін, бұл сол серверлерге тыйым салуға немесе Интернет провайдеріне шағымдарға әкелуі мүмкін. Бұған қоса, ол компанияның DNS серверлеріне үлкен жүктеме түсіреді, егер оларда бар болса және олар сіз шешуге тырысып жатқан домендерге жауапты болса.
• Түзеткіштер тізімі қазіргі уақытта ескірген, бірақ бұзылған DNS шешушілерін таңдап, жаңа белгілілерін қоссаңыз, бәрі жақсы болады.

Aquatone v0.5.0 скриншоты

nsec3map

nsec3map DNSSEC қорғалған домендердің толық тізімін алуға арналған Python құралы болып табылады.

Артықшылықтары:

• Аймақта DNSSEC қолдауы қосылған болса, сұраулардың ең аз санымен DNS аймақтарындағы хосттарды жылдам табады;
• Нәтижедегі NSEC3 хэштерін бұзу үшін пайдалануға болатын Джон Рипперге арналған плагинді қамтиды.

Кемшіліктері:

• Көптеген DNS қателері дұрыс өңделмейді;
• NSEC жазбаларын өңдеудің автоматты параллелизациясы жоқ - аттар кеңістігін қолмен бөлу керек;
• Жадты жоғары тұтыну.

Acunetix

Acunetix — веб-қосымшалардың қауіпсіздігін тексеру процесін автоматтандыратын веб осалдықты сканері. Қолданбаны SQL инъекцияларына, XSS, XXE, SSRF және басқа да көптеген веб осалдықтарына тексереді. Дегенмен, кез келген басқа сканер сияқты, әртүрлі веб осалдықтары пентестерді алмастырмайды, өйткені ол логикадағы осалдықтардың немесе осалдықтардың күрделі тізбектерін таба алмайды. Бірақ ол әртүрлі осалдықтарды қамтиды, соның ішінде пентестер ұмытып кетуі мүмкін әртүрлі CVE-лер, сондықтан бұл сізді әдеттегі тексерулерден босатуға өте ыңғайлы.

Артықшылықтары:

• Жалған позитивтердің төмен деңгейі;
• Нәтижелерді есептер ретінде экспорттауға болады;
• Әртүрлі осалдықтарды тексерудің үлкен санын орындайды;
• Бірнеше хосттарды параллельді сканерлеу.

Кемшіліктері:

• Депликация алгоритмі жоқ (Acunetix функционалдық жағынан бірдей беттерді әртүрлі деп санайды, өйткені олар әртүрлі URL мекенжайларына әкеледі), бірақ әзірлеушілер онымен жұмыс істеуде;
• Жеке веб-серверде орнатуды талап етеді, бұл VPN қосылымы бар клиенттік жүйелерді сынауды және жергілікті клиенттік желінің оқшауланған сегментінде сканерді пайдалануды қиындатады;
• Зерттелетін қызмет шу тудыруы мүмкін, мысалы, сайттағы байланыс пішініне тым көп шабуыл векторларын жіберу арқылы бизнес-процестерді айтарлықтай қиындатады;
• Бұл меншікті және, тиісінше, тегін емес шешім.

Іздеу

Іздеу — веб-сайттардағы каталогтар мен файлдарды қатал мәжбүрлеуге арналған Python құралы.

Артықшылықтары:

• Нақты «200 OK» беттерін «200 OK» беттерінен ажырата алады, бірақ «бет табылмады» мәтіні бар;
• Көлемі мен іздеу тиімділігі арасында жақсы тепе-теңдік бар ыңғайлы сөздікпен бірге келеді. Құрамында көптеген CMS және технологиялық стектерге ортақ стандартты жолдар бар;
• Файлдар мен каталогтарды санау кезінде жақсы тиімділік пен икемділікке қол жеткізуге мүмкіндік беретін өзіндік сөздік пішімі;
• Ыңғайлы шығару – қарапайым мәтін, JSON;
• Ол реттеуді орындай алады - сұраулар арасындағы үзіліс, бұл кез келген әлсіз қызмет үшін өте маңызды.

Кемшіліктері:

• Кеңейтімдер жол ретінде берілуі керек, бұл бір уақытта көптеген кеңейтімдерді өткізу қажет болса, ыңғайсыз;
• Сөздікті пайдалану үшін максималды тиімділік үшін оны Dirsearch сөздік пішіміне сәл өзгерту керек.

wfuzz

wfuzz - Python веб-қосымшасының fuzzer. Мүмкін, ең танымал веб-фазерлердің бірі. Принцип қарапайым: wfuzz HTTP сұрауындағы кез келген орынды кезеңге бөлуге мүмкіндік береді, бұл GET/POST параметрлерін, HTTP тақырыптарын, соның ішінде cookie файлын және басқа аутентификация тақырыптарын кезеңге бөлуге мүмкіндік береді. Сонымен қатар, бұл каталогтар мен файлдардың қарапайым дөрекі күші үшін де ыңғайлы, ол үшін сізге жақсы сөздік қажет. Сондай-ақ оның икемді сүзгі жүйесі бар, оның көмегімен веб-сайттан әртүрлі параметрлер бойынша жауаптарды сүзуге болады, бұл тиімді нәтижелерге қол жеткізуге мүмкіндік береді.

Артықшылықтары:

• Көпфункционалды - модульдік құрылым, құрастыру бірнеше минутты алады;
• Ыңғайлы сүзгілеу және тұндыру механизмі;
• Кез келген HTTP әдісін, сондай-ақ HTTP сұрауындағы кез келген орынды кезеңге бөлуге болады.

Кемшіліктері:

• Әзірлеу үстінде.

уфф

уфф — Wfuzz «суреті мен ұқсастығында» жасалған Go бағдарламасындағы веб-фузер файлдарды, каталогтарды, URL жолдарын, GET/POST параметрлерінің атаулары мен мәндерін, HTTP тақырыптарын, соның ішінде дөрекі күшке арналған хост тақырыбын ашуға мүмкіндік береді. виртуалды хосттар. wfuzz өзінің ағасынан жоғары жылдамдығымен және кейбір жаңа мүмкіндіктерімен ерекшеленеді, мысалы, ол Dirsearch пішімінің сөздіктерін қолдайды.

Артықшылықтары:

• Сүзгілер wfuzz сүзгілеріне ұқсас, олар қатал күшті икемді түрде конфигурациялауға мүмкіндік береді;
• HTTP тақырыбының мәндерін, POST сұрау деректерін және URL мекенжайының әртүрлі бөліктерін, соның ішінде GET параметрлерінің атаулары мен мәндерін анықтауға мүмкіндік береді;
• Кез келген HTTP әдісін көрсетуге болады.

Кемшіліктері:

• Әзірлеу үстінде.

гобустер

гобустер — барлауға арналған Go құралы, екі жұмыс режимі бар. Біріншісі веб-сайттағы файлдар мен каталогтарды өрескел күштеу үшін қолданылады, екіншісі DNS ішкі домендерін қатал күштеу үшін қолданылады. Құрал бастапқыда файлдар мен каталогтарды рекурсивті санауды қолдамайды, бұл, әрине, уақытты үнемдейді, бірақ екінші жағынан, веб-сайттағы әрбір жаңа соңғы нүктенің қатал күші бөлек іске қосылуы керек.

Артықшылықтары:

• DNS ішкі домендерін дөрекі күшпен іздеу үшін де, файлдар мен каталогтарды қатал күшпен іздеу үшін де жұмыстың жоғары жылдамдығы.

Кемшіліктері:

• Ағымдағы нұсқа HTTP тақырыптарын орнатуды қолдамайды;
• Әдепкі бойынша HTTP күй кодтарының кейбірі ғана (200,204,301,302,307) жарамды болып саналады.

Арджун

Арджун - GET/POST параметрлерінде, сондай-ақ JSON-да жасырын HTTP параметрлерінің дөрекі күшіне арналған құрал. Кірістірілген сөздікте 25 980 сөз бар, оны Ajrun 30 секундта тексереді. Айрықша, Ajrun әр параметрді бөлек тексермейді, бірақ бір уақытта ~ 1000 параметрді тексереді және жауаптың өзгергенін көреді. Жауап өзгерген болса, ол осы 1000 параметрді екі бөлікке бөліп, осы бөліктердің қайсысы жауапқа әсер ететінін тексереді. Осылайша, қарапайым екілік іздеуді қолдана отырып, жауапқа әсер еткен параметр немесе бірнеше жасырын параметрлер табылды, сондықтан бар болуы мүмкін.

Артықшылықтары:

• Екілік іздеуге байланысты жоғары жылдамдық;
• GET/POST параметрлерін, сондай-ақ JSON түріндегі параметрлерді қолдау;

Burp Suite плагині ұқсас принцип бойынша жұмыс істейді - кенші, бұл жасырын HTTP параметрлерін табуда өте жақсы. Бұл туралы сізге Burp және оның плагиндері туралы алдағы мақалада толығырақ айтып береміз.

LinkFinder

LinkFinder — JavaScript файлдарындағы сілтемелерді іздеуге арналған Python сценарийі. Веб қолданбасында жасырын немесе ұмытылған соңғы нүктелерді/URL мекенжайларын табу үшін пайдалы.

Артықшылықтары:

• Жылдам;
• LinkFinder негізінде Chrome үшін арнайы плагин бар.

.

Кемшіліктері:

• Қолайсыз соңғы қорытынды;
• Уақыт өте келе JavaScript талдамайды;
• Сілтемелерді іздеудің өте қарапайым логикасы - егер JavaScript қандай да бір түрде түсініксіз болса немесе сілтемелер бастапқыда жоқ және динамикалық түрде жасалса, ол ештеңе таба алмайды.

JSParser

JSParser пайдаланатын Python сценарийі болып табылады торнадо и JSBautifier JavaScript файлдарынан салыстырмалы URL мекенжайларын талдау үшін. AJAX сұрауларын анықтау және қолданба өзара әрекеттесетін API әдістерінің тізімін құрастыру үшін өте пайдалы. LinkFinder-пен бірге тиімді жұмыс істейді.

Артықшылықтары:

• JavaScript файлдарын жылдам талдау.

sqlmap

sqlmap веб-қосымшаларды талдауға арналған ең танымал құралдардың бірі болуы мүмкін. Sqlmap SQL инъекцияларын іздеуді және жұмысын автоматтандырады, бірнеше SQL диалектілерімен жұмыс істейді және оның арсеналында тікелей тырнақшалардан бастап уақытқа негізделген SQL инъекцияларына арналған күрделі векторларға дейін әртүрлі әдістердің үлкен саны бар. Бұған қоса, оның әртүрлі ДҚБЖ үшін әрі қарай пайдаланудың көптеген әдістері бар, сондықтан ол тек SQL инъекцияларына арналған сканер ретінде ғана емес, сонымен қатар бұрыннан табылған SQL инъекцияларын пайдаланудың қуатты құралы ретінде де пайдалы.

Артықшылықтары:

• Әртүрлі техникалар мен векторлардың үлкен саны;
• Жалған позитивтердің аз саны;
• Көптеген дәл баптау опциялары, әртүрлі әдістер, мақсатты дерекқор, WAF-ты айналып өтуге арналған бұрмалау сценарийлері;
• Шығыс демпін құру мүмкіндігі;
• Көптеген әртүрлі операциялық мүмкіндіктер, мысалы, кейбір деректер базалары үшін - файлдарды автоматты түрде жүктеу/түсіру, командаларды орындау мүмкіндігін алу (RCE) және басқалары;
• Шабуыл кезінде алынған деректерді пайдалана отырып, дерекқорға тікелей қосылуды қолдау;
• Burp нәтижелерімен мәтіндік файлды енгізу ретінде жіберуге болады - барлық пәрмен жолы төлсипаттарын қолмен құрастырудың қажеті жоқ.

Кемшіліктері:

• Бұл үшін құжаттаманың аздығына байланысты, мысалы, жеке чектеріңізді жазу қиын;
• Сәйкес параметрлерсіз ол жаңылыстыратын тексерулердің толық емес жиынтығын орындайды.

NoSQLMap

NoSQLMap — NoSQL инъекцияларын іздеу мен пайдалануды автоматтандыруға арналған Python құралы. Оны тек NoSQL дерекқорларында ғана емес, сонымен қатар NoSQL қолданатын веб-қосымшаларды тексеру кезінде де пайдалану ыңғайлы.

Артықшылықтары:

• Sqlmap сияқты, ол ықтимал осалдықты тауып қана қоймай, оны MongoDB және CouchDB үшін пайдалану мүмкіндігін де тексереді.

Кемшіліктері:

• Redis, Cassandra үшін NoSQL қолдау көрсетпейді, бұл бағытта даму жүріп жатыр.

oxml_xxe

oxml_xxe — қандай да бір пішінде XML пішімін пайдаланатын файлдардың әртүрлі түрлеріне XXE XML эксплойттерін ендіру құралы.

Артықшылықтары:

• DOCX, ODT, SVG, XML сияқты көптеген жалпы пішімдерді қолдайды.

Кемшіліктері:

• PDF, JPEG, GIF файлдарын қолдау толық іске асырылмаған;
• Тек бір файл жасайды. Бұл мәселені шешу үшін сіз құралды пайдалана аласыз docem, ол әртүрлі жерлерде пайдалы жүктеме файлдарының үлкен санын жасай алады.

Жоғарыда көрсетілген утилиталар құрамында XML бар құжаттарды жүктеген кезде XXE тестілеудің тамаша жұмысын атқарады. Сонымен қатар XML пішімінің өңдеушілерін көптеген басқа жағдайларда табуға болатынын есте сақтаңыз, мысалы, XML JSON орнына деректер пішімі ретінде пайдаланылуы мүмкін.

Сондықтан әртүрлі пайдалы жүктемелердің үлкен санын қамтитын келесі репозиторийге назар аударуды ұсынамыз: PayloadsAllTheThings.

tplmap

tplmap - Server-Side Template Injection осалдықтарын автоматты түрде анықтауға және пайдалануға арналған Python құралы; оның sqlmap-қа ұқсас параметрлері мен жалаушалары бар. Бірнеше түрлі әдістер мен векторларды пайдаланады, соның ішінде соқыр инъекция, сонымен қатар кодты орындау және еркін файлдарды жүктеу/жүктеп салу әдістері бар. Сонымен қатар, оның арсеналында ондаған түрлі үлгілік қозғалтқыштарға арналған әдістер және Python, Ruby, PHP, JavaScript-те eval() тәрізді код инъекцияларын іздеудің кейбір әдістері бар. Сәтті болса, ол интерактивті консольді ашады.

Артықшылықтары:

• Әртүрлі техникалар мен векторлардың үлкен саны;
• Көптеген үлгілерді көрсету қозғалтқыштарын қолдайды;
• Көптеген операциялық техникалар.

CeWL

CeWL - белгілі бір веб-сайттан бірегей сөздерді шығару үшін жасалған Ruby тіліндегі сөздік генераторы сайттағы сілтемелерді көрсетілген тереңдікке дейін бақылайды. Бірегей сөздердің құрастырылған сөздігі кейінірек қызметтерге немесе бір веб-сайттағы қатал күш файлдары мен каталогтарына қатал күш құпия сөздерін енгізу үшін немесе hashcat немесе Джон Риппер арқылы алынған хэштерге шабуыл жасау үшін пайдаланылуы мүмкін. Ықтимал құпия сөздердің «мақсатты» тізімін жасау кезінде пайдалы.

Артықшылықтары:

• Қолдануға оңай.

Кемшіліктері:

• Қосымша доменді басып алмау үшін іздеу тереңдігіне абай болу керек.

Әлсіз жол

Әлсіз жол - бірегей құпия сөздері бар көптеген сөздіктерден тұратын қызмет. Құпия сөзді бұзумен байланысты әртүрлі тапсырмалар үшін өте пайдалы, ол мақсатты қызметтердегі тіркелгілердің қарапайым онлайн күшінен бастап алынған хэштердің желіден тыс дөрекі күшіне дейін. хэшкат немесе Джон Риппер. Онда ұзындығы 8-тен 4 таңбаға дейінгі 25 миллиардқа жуық құпия сөз бар.

Артықшылықтары:

• Құрамында арнайы сөздіктер де, ең көп таралған құпия сөздері бар сөздіктер де бар - сіз өзіңіздің қажеттіліктеріңіз үшін арнайы сөздікті таңдай аласыз;
• Сөздіктер жаңартылып, жаңа құпия сөздермен толықтырылды;
• Сөздіктер тиімділігі бойынша сұрыпталады. Сіз жылдам онлайн режимін және соңғы ағып кетулері бар көлемді сөздіктен құпия сөздерді егжей-тегжейлі таңдау опциясын таңдай аласыз;
• Жабдықтағы құпия сөздерді бұзуға кететін уақытты көрсететін калькулятор бар.

Біз CMS тексеру құралдарын бөлек топқа қосқымыз келеді: WPScan, JoomScan және AEM хакері.

AEM_hacker

AEM хакері Adobe Experience Manager (AEM) қолданбаларындағы осалдықтарды анықтау құралы болып табылады.

Артықшылықтары:

• Оның енгізуіне жіберілген URL мекенжайларының тізімінен AEM қолданбаларын анықтай алады;
• JSP қабықшасын жүктеу немесе SSRF пайдалану арқылы RCE алуға арналған сценарийлерді қамтиды.

JoomScan

JoomScan — Joomla CMS қолдану кезінде осалдықтарды анықтауды автоматтандыруға арналған Perl құралы.

Артықшылықтары:

• Конфигурация ақаулары мен әкімшілік параметрлерге қатысты мәселелерді таба алады;
• Жеке құрамдастарға ұқсас Joomla нұсқалары мен байланысты осалдықтарды тізімдейді;
• Құрамында Joomla компоненттеріне арналған 1000-нан астам эксплойт бар;
• Мәтіндік және HTML пішіміндегі қорытынды есептерді шығару.

WPScan

WPScan - WordPress сайттарын сканерлеуге арналған құрал, оның арсеналында WordPress қозғалтқышының өзі үшін де, кейбір плагиндер үшін де осалдықтары бар.

Артықшылықтары:

• Қауіпті WordPress плагиндері мен тақырыптарын тізімдеуге ғана емес, сонымен қатар пайдаланушылар мен TimThumb файлдарының тізімін алуға қабілетті;
• WordPress сайттарына дөрекі күшпен шабуыл жасай алады.

Кемшіліктері:

• Сәйкес параметрлерсіз ол жаңылыстыратын тексерулердің толық емес жиынтығын орындайды.

Жалпы, әртүрлі адамдар жұмыс үшін әртүрлі құралдарды жақсы көреді: олардың барлығы өзінше жақсы, ал бір адамға ұнайтын нәрсе екіншісіне мүлдем сәйкес келмеуі мүмкін. Егер сіз кейбір жақсы қызметтік бағдарламаны әділетсіз түрде елемеді деп ойласаңыз, бұл туралы түсініктемелерде жазыңыз!

Ақпарат көзі: www.habr.com