WPScan sur Manjaro/Arch : utilisez Docker !

Twitter Facebook Google Plus Linkedin email

J’ai essayé plusieurs fois d’installer/utiliser WPScan sur mon laptop, que ce soit à la main ou en passant par le paquet AUR. Le seul problème, c’est que les rares fois où j’ai réussi à le faire fonctionner, ça n’a tenu que le temps de la mise à jour de Ruby qui pétait tout. Et puis récemment, je me suis souvenu que j’ai parlé du fait que j’avais testé Docker. Je me suis dit que si ça permettait de ne plus s’emmerder avec les dépendances, je lui trouverais enfin une réelle utilité, alors pourquoi ne pas essayer ?

Pour rappel, WPScan est un utilitaire qui permet de scanner un site tournant sous WordPress, et d’en lister les éventuelles failles de sécurité (en fonction des extensions et de leur version détectée). Un outil très pratique, écrit en Ruby (personne n’est parfait), open source avec une licence bizarre, le tout publié sur GitHub.

Si vous avez déjà docker d’installé sur votre machine (tout est déjà documenté dans plusieurs langues sur le web, pas besoin de tout rappeler ici), c’est aussi simple à installer que :

Les tailles des dépendances sont assez conséquentes, mais pas catastrophiques non plus (l’image une fois construite fait 586Mo tout de même). Ensuite, l’exécution est assez triviale, on utilise wpscan « presque » comme d’habitude :

L’option –rm permet de supprimer le container créé une fois l’exécution terminée. En effet c’est pas grave si on garde pas l’historique de l’exécution, les options de wpscan vous permettant de conserver le rapport de diverses manières. Et si vous êtes assez feignant pour tout retaper à chaque fois, vous pouvez passer par un alias :

Dans ce cas, vous n’aurez plus qu’à taper l’alias suivi du site (et ses éventuelles options), par exemple :

Enfin, pour gérer les mises à jour, il suffit de refaire le docker pull du début. Pour désinstaller, on supprime l’image avec Docker. Finalement assez simple.

Enfin une utilité ?

C’est une solution qui coûte cher (+500Mo l’appli qui pèse que dalle sur GitHub en comparaison), mais pour certaines applications Docker a donc à priori vraiment du sens. J’irai même dire que ça pourrait presque remplacer un gestionnaire de paquets si l’espace disque consommé n’était pas si important. C’est en tout cas ce que pensent Red Hat avec Atomic Host ou CoreOS. Et j’ai malheureusement pu voir briller les yeux de certains représentants d’agences de dev web en l’évoquant en réunion client. Enfin bon, tant que Docker ne fait pas comme NPM (soulignant au passage l’extrême paresse des développeurs — tout comme le fait de ne plus utiliser que GitHub), ça semble quand même pas trop mal branlé. L’avenir nous dira si ça finit bien…

Poster un Commentaire

1 Commentaire sur "WPScan sur Manjaro/Arch : utilisez Docker !"

avatar
  Subscribe  
plus récents plus anciens
Me notifier des
Dominique
Invité

Hello,
J’ai fais une petite image un peu plus légère que l’officiel de WPScan. Rien qu’en parcourant rapidement le Dockerfile de WPScan, je ne pouvais que le refaire moi même. Disons qu’en terme d’optimisation et bonne pratique ce n’est trop cela.

Voici le lien : https://hub.docker.com/r/evild/alpine-wpscan/

L’image fait en moyenne 200Mo.