项目任务是众包插件错误数据的索引和策划
一个开源项目旨在帮助安全研究人员指纹WordPress插件正在寻求反馈和贡献者。
目前处于beta模式,wphash是一种免费使用的Web服务,可帮助beplay体育能用吗安全专业人员识别已安装的插件以及是否包含安全漏洞。
为此,它为WordPress插件索引了7500万SHA256哈希 - 涵盖了WordPress Marketplace上的绝大多数,以及它们的各种版本。
项目任务是“众包WordPress插件漏洞数据的索引和策划”。
枚举和指纹
“ WPHASH的主要目的是为安全研究人员提供Web服务形式的其他工具,这可以帮助他们枚举和指纹刻印安装的WordPress插件,”瑞士IT Security Company的WPHASH Archbeplay体育能用吗itect and Security Engineer Dave Miller循环,告诉每日swbeplay2018官网ig。
WPHASH网站包括哈beplay体育能用吗希的字母索引,该索引的搜索功能,一个实验性OpenAPI规格查找哈希和filepaths以及常见问题解答。原始和标准化的SHA256校验和均为索引。
米勒说:“研究人员可以查询wphash的知名插件。”“然后,他们在目标上要求这些文件膜并计算SHA256哈希,然后将其用于WPHASH上的查找插件元数据。此过程使他们能够确定确切的插件版本,并在进一步的研究中确定插件是否易受伤害。”
可以通过使用WPHASH上的原始数据来查询索引漏洞或研究人员自己的工具Github仓库。
米勒说redditWPHASH并不是要成为汽车WordPress安全扫描仪的直接竞争对手wpscan他承认的脆弱性数据和工具目前“更加精心策划,更完整”。
尽管如此,WPHASH履行了Miller对自由访问众包漏洞信息的偏爱“在我自己的工具中,而不会被API速率限制限制”。
呼吁贡献者
WPHASH的未来发展范围部分取决于米勒(Miller)的社区支持水平。至少,他“致力于免费运营wphash,并尝试不断改善其余的API以及背后的数据”。
Miller表示,在Twitter上的许多转发和Reddit上的投票都表示对该项目的支持表示支持,他希望从开源社区中吸引一些共同构造者“一旦人们开始使用WPHASH及其数据,就可以从开源社区中获得。我认为我需要使它变得更轻松,并开始编写贡献指南,以使更多的人参与其中。”
任何希望贡献,现场问题或向Wphash提供反馈的人都可以通过他的Twitter帐户。
自行车,发表了博客文章在5月,记录其针对插件漏洞的研究正在赞助该项目。
