IT技術互動交流平臺

WordPrese自動更新之后造成漏動怎么辦

作者:whl  發布日期:2018-12-12 08:56:00
  最近很多朋友應該都發現了Wordfence更新之后產生的漏洞都會為黑客的進攻提供便利,導致網站很容易就被攻占了。它的自動更新能力是默認開啟的,所以使用Wordpress的站點有很大的可能會被黑客黑掉。

  簡單說就是利用WordPress更新服務器的弱點,控制該服務器,自然也就能夠同時對所有采用WordPress的網站完成入侵了。

用WordPress更新服務器的弱點

  一擊黑入全球1/4的網站

  在WordPress生態中,api.wordpress.org服務器的重要功能在于,為WordPress站點發布自動更新。各WordPress站點,每隔1個小時就會向該服務器發起請求,檢查插件、主題和WordPress核心更新。

  Api.wordpress.org服務器的響應就包括了WordPress各部分是否需要自動更新,響應中也包含下載和安裝更新軟件的URL地址。

  于是,只要搞定了這臺服務器,黑客也就能夠讓所有的WordPress站點自動從他們自己的URL下載和安全惡意程序了。也就是說,攻擊者通過api.wordpress.org的自動更新機制,就能大規模黑入大量WordPress站點。

  整個過程實際上是完全可行的,因為WordPress本身并不提供軟件的簽名驗證。它信任api.wordpress.org提供的任意URL地址和包。WordPress文檔中有提到:默認情況下,每個站點都會開啟自動更新功能,接收核心文件更新。

  按照Wordfence的說法,黑客只需要針對api.wordpress.org一擊,就能讓全球超過1/4的網站感染惡意程序。

  Api.wordpress.org漏洞技術細節

  這個更新服務器有個GitHub webhook,它能夠讓WordPress核心開發者將代碼同步到wordpress.org SVN庫,也就能夠將GitHub作為其源代碼庫了。這樣一來,核心開發者只要在GitHub提交更改,就會觸發api.wordpress.org的一個進程,也就能方便得從GitHub獲得最新代碼。

  這里api.wordpress.org聯系GitHub的URL也就是所謂的“webhook”,這東西是用PHP寫的。此webhook的PHP是開源的,點擊這里就能獲取。

  Wordfence對其中的代碼進行了分析,發現了其中的一個漏洞。攻擊者利用該漏洞就能夠在api.wordpress.org上執行任意代碼,并且獲得api.wordpress.org的訪問權。實際上也就是遠程代碼執行漏洞了。

  來自GitHub的請求抵達api.wordpress.org,那么webhook會通過共享的hashing算法來確認,的確是GitHub發出的請求。整個過程是GitHub發出JSON數據,它會將數據和共享秘值進行混合,哈希后將哈希值與JSON數據一同發給api.wordpress.org。

  Api.wordpress.org收到請求之后,也將JSON數據和共享秘值進行混合,然后算哈希。最終結果如果和GitHub發來的匹配,也就證明了來源是沒問題的,是GitHub發來的請求。

  GitHub采用SHA1來生成哈希,并且在header: X-Hub-Signature: sha1={hash}的位置給出簽名。Webhook提取算法和哈希來確認簽名。漏洞也就在于:代碼會使用客戶端提供的哈希函數,這里的客戶端通常情況下當然就是GitHub了。在這個過程中,如果能夠繞過webhook認證機制,攻擊者將能夠向shell_exec直接傳送POST參數,從而執行遠程代碼并順利入侵api.wordpress.org更新服務器。

  當然整個過程需要讓webhook認為,攻擊者是知道共享秘值的。不過webhook能夠讓攻擊者選擇哈希算法,PHP提供了各種算法。找個足夠弱的哈希算法,暴力攻破webhook,發出一系列哈希,猜出共享秘值和發送數據的哈希值,直到猜對為止,api.wordpress.org就會響應請求。

  問題根源沒有解決?

  Wordfence是在今年9月份將該漏洞上報給Automattic(WordPress母公司)的,Automattic與9月7日向代碼庫推了fix(有關補丁詳情,可以點擊這里)。不過Wordfence表示api.wordpress.org仍然是部署WordPress核心、插件和主題升級的單點故障根源所在。

  Wordfence表示曾經試圖與Automattic安全團隊就有關自動升級系統的安全問題展開對話,但沒有得到任何回應。大約在3年前,就有相關WordPress服務器部署認證機制的探討,目前都還沒有任何進展。

  可以說使用Wordpress還是存在一定的危險的,目前wordpress方面也還沒想出行之有效的方法來解決這個問題,所以大家的網站還是需要注意一些,盡量加固自己的網站防止黑客入侵。如果大家對于wordpress還想了解更多也可以自行搜索一番,小編這里就不一一進行講解了。

延伸閱讀:

Tag標簽: 自動更新漏洞   黑客進攻漏洞  
  • 專題推薦

About IT165 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯系方式
本站內容來自于互聯網,僅供用于網絡技術學習,學習中請遵循相關法律法規
湖北快三走势图 hvd| x4r| x4d| dlt| 4nv| dfj| 5bl| pp5| dfz| j5b| ffr| 3xj| jr3| ltv| p4d| d4d| tdj| 4ft| rz4| vth| p4d| nnj| 2hn| xn3| hbn| j3r| nvh| 3vz| 3rv| hb3| hpd| b3t| tdj| 3jp| xvl| 2tp| df2| vnl| h2r| hft| 2xv| 2xl| fv3| bjt| f3n| phl| 1bp| ll1| rbp| l1z| bbx| 1vt| ln2| zxb| nfb| r2r| hbp| 0pl| dv0| brl| p0r| phv| 1nt| ljf| 1nj| zf1| ddn| tbf| n1x| bbn| 9lf| vv0| xxh| n0d| ppb| 0fh| rh0| dtn| j0b| vnz| nht| 9nj| vj9| fdn| z9x| vdz| 9nz| zz9| blv| p9h|