IT技(ji)術互(hu)動交(jiao)流平台(tai)

网上彩票代理官网

作者(zhe)︰whl  發布日期︰2020-02-20 07:48:00
  最近很多朋(peng)友應該都發現了Wordfence更新之後產生的漏洞都會為(wei)黑客(ke)的進攻提(ti)供便利,導致(zhi)網站很容(rong)易就被攻佔了。它(ta)的自yuan) 履芰κ悄 峽kai)啟的mo) 允褂ordpress的站點(dian)有很大的可(ke)能會被黑客(ke)黑掉。

  簡單說(shuo)就是利用WordPress更新服務器的弱點(dian),控制該服務器,自然也就能夠同時對所有采用WordPress的網站完(wan)成(cheng)入(ru)侵了。

用WordPress更新服務器的弱點(dian)

  一擊黑入(ru)全球1/4的網站

  在WordPress生態中(zhong),api.wordpress.org服務器的重(zhong)要功能在于,為(wei)WordPress站點(dian)發布自yuan) 隆8ordPress站點(dian),每隔(ge)1個小時就會向該服務器發起請求,檢查插(cha)件、主(zhu)題(ti)和WordPress核心mu)隆/p>

  Api.wordpress.org服務器的響應就包括了WordPress各部分是否需要自yuan) 攏  χzhong)也包含下載(zai)和安裝更新軟(ruan)件的URL地址。

  于是,只要搞(gao)定(ding)了這台(tai)服務器,黑客(ke)也就能夠讓(rang)所有的WordPress站點(dian)自yuan) 鈾親約ji)的URL下載(zai)和安全惡意程序(xu)了。也就是說(shuo),攻擊者(zhe)通過api.wordpress.org的自yuan) 祿ji)制,就能大規模(mo)黑入(ru)大量(liang)WordPress站點(dian)。

  整個過程實(shi)際上是完(wan)全可(ke)行(xing)的mo) 蛭wei)WordPress本身(shen)並不提(ti)供軟(ruan)件的簽名(ming)驗(yan)證。它(ta)信(xin)任api.wordpress.org提(ti)供的任意URL地址和包。WordPress文檔中(zhong)有提(ti)到(dao)︰默認情況下,每個站點(dian)都會開(kai)啟自yuan) 鹿δ埽 郵蘸誦奈募隆/p>

  按照Wordfence的說(shuo)法,黑客(ke)只需要針對api.wordpress.org一擊,就能讓(rang)全球超過1/4的網站感染惡意程序(xu)。

  Api.wordpress.org漏洞技(ji)術細節

  這個更新服務器有個GitHub webhook,它(ta)能夠讓(rang)WordPress核心開(kai)發者(zhe)將代碼同步到(dao)wordpress.org SVN庫,也就能夠將GitHub作為(wei)其源代碼庫了。這樣一來,核心開(kai)發者(zhe)只要在GitHub提(ti)交(jiao)更改mo) 突崠?pi.wordpress.org的一個進程,也就能方便得從GitHub獲得最新代碼。

  這里api.wordpress.org聯系(xi)GitHub的URL也就是所謂的“webhook”,這東西是用PHP寫的。此webhook的PHP是開(kai)源的mo) dian)擊這里就能獲取(qu)。

  Wordfence對其中(zhong)的代碼進行(xing)了分析,發現了其中(zhong)的一個漏洞。攻擊者(zhe)利用該漏洞就能夠在api.wordpress.org上執(zhi)行(xing)任意代碼,並且獲得api.wordpress.org的訪問(wen)權。實(shi)際上也就是遠(yuan)程代碼執(zhi)行(xing)漏洞了。

  來自GitHub的請求抵zhi)pi.wordpress.org,那麼webhook會通過共享的hashing算法來確認,的確是GitHub發出的請求。整個過程是GitHub發出JSON數據,它(ta)會將數據和共享秘值dao)xing)混(hun)合(he),哈希後將哈希值與(yu)JSON數據一同發給api.wordpress.org。

  Api.wordpress.org收到(dao)請求之後,也將JSON數據和共享秘值dao)xing)混(hun)合(he),然後算哈希。最終(zhong)結(jie)果如(ru)果和GitHub發來的匹(pi)配,也就證明了來源是沒問(wen)題(ti)的mo) itHub發來的請求。

  GitHub采用SHA1來生成(cheng)哈希,並且在header: X-Hub-Signature: sha1={hash}的位(wei)置給出簽名(ming)。Webhook提(ti)取(qu)算法和哈希來確認簽名(ming)。漏洞也就在于︰代碼會使用客(ke)戶端提(ti)供的哈希函(han)數,這里的客(ke)戶端通常情況下當然就是GitHub了。在這個過程中(zhong),如(ru)果能夠繞(rao)過webhook認證機(ji)制,攻擊者(zhe)將能夠向shell_exec直接傳送POST參wen) 佣zhi)行(xing)遠(yuan)程代碼並順利入(ru)侵api.wordpress.org更新服務器。

  當然整個過程需要讓(rang)webhook認為(wei),攻擊者(zhe)是知道共享秘值的。不過webhook能夠讓(rang)攻擊者(zhe)選擇哈希算法,PHP提(ti)供了各種算法。找個足夠弱的哈希算法,暴力攻破(po)webhook,發出一系(xi)列哈希,猜出共享秘值和發送數據的哈希值,直到(dao)猜對為(wei)止,api.wordpress.org就會響應請求。

  問(wen)題(ti)根源沒有解決?

  Wordfence是在今年9月(yue)份將該漏洞上報給Automattic(WordPress母(mu)公司)的mo)utomattic與(yu)9月(yue)7日向代碼庫推(tui)了fix(有關補(bu)丁詳情,可(ke)以點(dian)擊這里)。不過Wordfence表(biao)示api.wordpress.org仍然是部署(shu)WordPress核心、插(cha)件和主(zhu)題(ti)升(sheng)級的單點(dian)故障根源所在。

  Wordfence表(biao)示曾經(jing)試圖(tu)與(yu)Automattic安全團隊就有關自yuan) sheng)級系(xi)統的安全問(wen)題(ti)展開(kai)對話(hua),但(dan)沒有得到(dao)任何wei)賾Α4笤莢年前(qian),就有相關WordPress服務器部署(shu)認證機(ji)制pin)奶教鄭 殼qian)都還沒有任何進展。

  可(ke)以說(shuo)使用Wordpress還是存在一定(ding)的危險(xian)的mo) 殼qian)wordpress方面也還沒想出行(xing)之有xing)?姆椒 唇餼穌飧鑫wen)題(ti),所以大家的網站還是需要注意一些,盡量(liang)加固(gu)自己(ji)的網站防止黑客(ke)入(ru)侵。如(ru)果大家對于wordpress還想了解更多也可(ke)以自行(xing)搜索一huan)  ”嗾飫錁筒灰灰喚xing)講解了。

网上彩票代理官网

    • 网上彩票代理官网

    About IT165 - 廣告服務 - 隱私聲(sheng)明 - 版權申明 - 免責條款 - 網站地圖(tu) - 網友投稿(gao) - 聯系(xi)方式
    本站內容(rong)來自于互(hu)聯網,僅(jin)供用于網絡(luo)技(ji)術學習,學習中(zhong)請遵循相關法律法規
    网上彩票代理官网 | 下一页