securecodebox/scanner-wpscan

OWASP secureCodeBox Scanner - WPScan

概述

OWASP secureCodeBox的scanner-wpscan镜像是集成WPScan扫描器的Docker镜像，用于检测WordPress网站的安全漏洞。该镜像需与对应的parser镜像配合使用，将扫描结果解析为secureCodeBox通用格式。

什么是OWASP secureCodeBox？

https://github.com/secureCodeBox/是一个自动化、可扩展的开源解决方案，通过简单轻量的界面集成多种安全漏洞扫描器。其使命是支持DevSecOps团队轻松自动化不同场景下的安全漏洞测试，在开发流程早期发现低风险问题，释放渗透测试人员资源以专注于重大安全问题。secureCodeBox运行在Kubernetes上（需Helm安装），也可基于Docker基础设施启动集成的扫描器。

什么是WPScan？

WPScan是一款免费（非商业用途）的黑盒WordPress漏洞扫描器，专为安全专业人员和博客维护者设计，用于测试网站安全性。

注意：需提供WPScan API Token以通过[***] Token。使用secureCodeBox WPScan时，可通过WPVULNDB_API_TOKEN目标属性指定Token。

支持的标签

• latest（最新稳定发布版本）
• 版本化标签，如3.0.0、2.9.0、2.8.0、2.7.0

如何使用此镜像

拉取镜像

bash
docker pull securecodebox/scanner-wpscan

Docker部署示例

运行WPScan扫描目标WordPress网站，需提供API Token并指定扫描参数：

bash
docker run --rm -e WPVULNDB_API_TOKEN="your-api-token" securecodebox/scanner-wpscan --url example.com -e vp --plugins-detection mixed

说明：-e vp表示枚举易受***的插件，--plugins-detection mixed指定插件检测模式为混合模式（主动+被动）。扫描结果需由对应parser镜像解析为secureCodeBox通用格式。

扫描器配置

基础扫描命令

• 扫描所有已知漏洞的插件：wpscan --url example.com -e vp --plugins-detection mixed --api-token WPVULNDB_API_TOKEN
• 扫描数据库中所有插件（耗时较长）：wpscan --url example.com -e ap --plugins-detection mixed --api-token WPVULNDB_API_TOKEN
• 密码暴力破解：wpscan --url example.com -e u --passwords /path/to/password_file.txt
• 更新本地数据库：wpscan --update

枚举选项

使用-e参数启用枚举功能，支持插件、主题、用户、配置备份等枚举，模式包括passive（被动）、aggressive（主动）、mixed（混合，默认）。可用枚举选项如下：

vp (易受攻击的插件), ap (所有插件), p (插件), vt (易受攻击的主题), at (所有主题), t (主题), tt (Timthumb文件), cb (配置备份), dbe (数据库导出文件), u (用户ID范围), m (媒体ID范围)

选项间用逗号分隔，默认：vp,vt,tt,cb,dbe,u,m；不兼容选项每组仅可选一个（如vp/ap/p互斥）。

社区

• https://github.com/secureCodeBox/
• OWASP Slack（#project-securecodebox频道）
• *** secureCodeBox是官方OWASP项目。

许可证

![License]([***] 本镜像基于Apache 2.0许可证发布。使用前需确保遵守镜像中包含的所有软件（如基础系统、依赖组件）的许可证要求。