词条信息

admin
admin
超级管理员
词条创建者 发短消息   

相关词条

热门词条

更多>>
什么是端口?到底是做什么的呢?
端口一般指两种,一种是硬件比如路由器或者交换机的插网线的端口,一种是软件的逻辑的概念,比如http的80端口!...
7种进阶方法让你快速测试端口连通性
Ping是Windows、Linux和Unix系统下的一个检查网络连通性的命令工具,对于大部分互联网用户来说很...
电脑开机,总需要按F1,是什么原因造成的?
一.主板掉电这个说法是行业内的叫法了,一般是主板的CMOS电池没电了导致的。也是最常见的一种提示你按F1的提示...
社保降费对个人有什么影响?
下调城镇职工基本养老保险单位缴费比例是政府给企业发的一个大红包,特别是对于企业来说是一个利好,但是对个人来说有...
车辆“出险”对下年保费的影响,到底有多大?
【出险对交强险的影响】【出险对商业险的影响】车辆“出险”对下年保费的影响,到底有多大?这里有必要先提下车险第三...
解决网 >>所属分类 >> 安全防护    经验技巧   

WordPrese自动更新之后造成漏洞怎么办

标签: Wordfence 漏洞

顶[0] 发表评论(0) 编辑词条

最近很多朋友应该都发现了Wordfence更新之后产生的漏洞都会为黑客的进攻提供便利,导致网站很容易就被攻占了。它的自动更新能力是默认开启的,所以使用Wordpress的站点有很大的可能会被黑客黑掉。


简单说就是利用WordPress更新服务器的弱点,控制该服务器,自然也就能够同时对所有采用WordPress的网站完成入侵了。


用WordPress更新服务器的弱点


一击黑入全球1/4的网站


在WordPress生态中,api.wordpress.org服务器的重要功能在于,为WordPress站点发布自动更新。各WordPress站点,每隔1个小时就会向该服务器发起请求,检查插件、主题和WordPress核心更新。


Api.wordpress.org服务器的响应就包括了WordPress各部分是否需要自动更新,响应中也包含下载和安装更新软件的URL地址。


于是,只要搞定了这台服务器,黑客也就能够让所有的WordPress站点自动从他们自己的URL下载和安全恶意程序了。也就是说,攻击者通过api.wordpress.org的自动更新机制,就能大规模黑入大量WordPress站点。


整个过程实际上是完全可行的,因为WordPress本身并不提供软件的签名验证。它信任api.wordpress.org提供的任意URL地址和包。WordPress文档中有提到:默认情况下,每个站点都会开启自动更新功能,接收核心文件更新。


按照Wordfence的说法,黑客只需要针对api.wordpress.org一击,就能让全球超过1/4的网站感染恶意程序。


Api.wordpress.org漏洞技术细节


这个更新服务器有个GitHub webhook,它能够让WordPress核心开发者将代码同步到wordpress.org SVN库,也就能够将GitHub作为其源代码库了。这样一来,核心开发者只要在GitHub提交更改,就会触发api.wordpress.org的一个进程,也就能方便得从GitHub获得最新代码。


这里api.wordpress.org联系GitHub的URL也就是所谓的“webhook”,这东西是用PHP写的。此webhook的PHP是开源的,点击这里就能获取。


Wordfence对其中的代码进行了分析,发现了其中的一个漏洞。攻击者利用该漏洞就能够在api.wordpress.org上执行任意代码,并且获得api.wordpress.org的访问权。实际上也就是远程代码执行漏洞了。


来自GitHub的请求抵达api.wordpress.org,那么webhook会通过共享的hashing算法来确认,的确是GitHub发出的请求。整个过程是GitHub发出JSON数据,它会将数据和共享秘值进行混合,哈希后将哈希值与JSON数据一同发给api.wordpress.org。


Api.wordpress.org收到请求之后,也将JSON数据和共享秘值进行混合,然后算哈希。最终结果如果和GitHub发来的匹配,也就证明了来源是没问题的,是GitHub发来的请求。


GitHub采用SHA1来生成哈希,并且在header: X-Hub-Signature: sha1={hash}的位置给出签名。Webhook提取算法和哈希来确认签名。漏洞也就在于:代码会使用客户端提供的哈希函数,这里的客户端通常情况下当然就是GitHub了。在这个过程中,如果能够绕过webhook认证机制,攻击者将能够向shell_exec直接传送POST参数,从而执行远程代码并顺利入侵api.wordpress.org更新服务器。


当然整个过程需要让webhook认为,攻击者是知道共享秘值的。不过webhook能够让攻击者选择哈希算法,PHP提供了各种算法。找个足够弱的哈希算法,暴力攻破webhook,发出一系列哈希,猜出共享秘值和发送数据的哈希值,直到猜对为止,api.wordpress.org就会响应请求。


问题根源没有解决?


Wordfence是在今年9月份将该漏洞上报给Automattic(WordPress母公司)的,Automattic与9月7日向代码库推了fix(有关补丁详情,可以点击这里)。不过Wordfence表示api.wordpress.org仍然是部署WordPress核心、插件和主题升级的单点故障根源所在。


Wordfence表示曾经试图与Automattic安全团队就有关自动升级系统的安全问题展开对话,但没有得到任何回应。大约在3年前,就有相关WordPress服务器部署认证机制的探讨,目前都还没有任何进展。


可以说使用Wordpress还是存在一定的危险的,目前wordpress方面也还没想出行之有效的方法来解决这个问题,所以大家的网站还是需要注意一些,尽量加固自己的网站防止黑客入侵。如果大家对于wordpress还想了解更多也可以自行搜索一番,小编这里就不一一进行讲解了。

 

 

附件列表


按字母顺序浏览:A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

→我们致力于为广大网民解决所遇到的各种电脑技术问题
 如果您认为本词条还有待完善,请 编辑词条

上一篇关于XSS和XSSI的不同之处
下一篇主板的整体结构是什么样子?

0
1. 本站部分内容来自互联网,如有任何版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
2. 本站内容仅供参考,如果您需要解决具体问题,建议您咨询相关领域专业人士。
3. 如果您没有找到需要的百科词条,您可以到百科问答提问或创建词条,等待高手解答。

关于本词条的提问

查看全部/我要提问>>