บ่อยครังที่ผมใช้ Software ที่ชื่อว่า wpscan ซึ่งเป็น OpenSource Software สำหรับค้นหาช่องโหว่ หรือ จุดอ่อนของ WordPress ให้กับหน่วยงานและเว็บไซต์ส่วนตัวของผมเองและสิ่งที่น่าแปลกใจสำหรับการใช้งานครั้งแรก (ของใครหลายๆคน) คือมันสามารถค้นหา username ที่ใช้สำหรับ Login เข้าสู่ระบบของทุก Account ในระบบได้ซึ่งในจุดนี้ก็ถือว่าเป็นอันตรายพอสมควรสำหรับ Webmaster ทั่วๆไปที่มักจะตั้งรหัสผ่านที่ง่ายๆต่อการคาดเดา เช่น 123456 , 123456789 , aaaaaaa , password เป็นต้นซึ่งผมก็เลยถือโอกาสอธิบายที่มาที่ไปว่าเจ้า wpscan นั้นหา username มาจากไหน หากคนไหน hardcore หน่อยก็คงเอา Source Code ที่ทาง wpscan มาแกะเอง ส่วนผมไม่ถนัดภาษา ruby ซักเท่าไร เลยจะดูจากการ GET request ด้วย wireshark แทนแล้วกันครับ ^...
Read More