Po niekoľkých štipľavých článkoch, ktoré som smeroval na jednotlivé spoločnosti, ma napadlo niekoľko čitateľov, ale aj známych s tým, že všetkým navôkol robím len zle a nikomu nepomáham. Preto som sa rozhodol vytvoriť nástroj pre otestovanie bezpečnosti každého blogu postaveného na systéme Wordpress.
Každú chvíľu mi napadnú ďalšie a ďalšie možnosti, ktoré je možné zneužiť, či sa jednoducho môžu za určitých podmienok stať nebezpečnými. Nástroj bude automaticky detekovať jednotlivé zraniteľnosti na testovanom blogu a navrhovať riešenia na ich opravu. Keďže však mám po veľmi dlhom čase aj stabilnú prácu, plus sa musím starať o niekoľko svojich tajných (nie, určite nepoviem, ktoré to sú) projektov, som rád, že stíham aspoň raz za čas niekde niečo napísať.
Dnes mi však pri dopĺňaní pravidiel pre skener napadla veľmi zaujimavá myšlienka. A čo templaty (dizajn)? Tie bývajú často tou najväčšou slabinou celého blogu a preto som sa na ne trošku pozrel. Zistenie ma veľmi nepotešilo, pretože som si opätovne potvrdil, že Wordpress má ešte čo doháňať, aby sa stal kvalitným a zároveň bezpečným publikačným systémom.
Problém je v samotných šablónach, ktoré nie sú nijakým spôsobom chránené pred načítaním z priamej linky, pričom sú však šablóny využívané len vnútorným spôsom, čiže ich nie je potrebné zobrazovať napriamo. Samotný systém Wordpress má mnoho a mnoho chýb, ktoré sú, no povedzme, veľmi neštandardné a na ktorých sa snažím aktuálne dosť pracovať spolu s niekoľkými osobami z komunity okolo tohoto systému.
Takže, samotná podstata potencionálnej zraniteľnosti je v tom, že útočník pri zavolaní mena šablóny môže naraziť na kód stránky, ktorý mu môže napríklad umožniť využiť XSS útok, či dokonca vyvolať SQL Injection. Možnosti závisia vyslovene na tom, či daný template (dizajn) takýto nie moc dobrý kód obsahuje. Aby útočník a ani nikto ďalší nemal priamy prístup ku šablónam, odporúčam dať na úplne prvý riadok každého php súboru tento kód.
<?phpPre neznalých tento kód robí doslovne to, že overuje, či bola vytvorená konštanta WP_USE_THEMES, ktorá je zadaná v najvyššom súbore celého systému, index.php v roote WP. Keďže je celý systém previazaný práve s indexom, ochrana je 100%.
if (!defined('WP_USE_THEMES'))
{
exit;
}
?>
Na túto zraniteľnosť trpí, dovolím si odhadnúť, 99% všetkých blogov postavených na systéme Wordpress. Ak teda používate tento systém aj vy na svojom blogu, odporúčam vám tento postup dodržať.
Zopár tých, ktorých poznám, a ktorých blogy sú aktuálne ohrozené touto zraniteľnosťou.
TechCrunch
BuzzMag
SEOChat
a tisíce ďalších.
Využijem tento článoček aj na trošku inzercie. Hľadám ľudí, ktorí majú dobrú znalosť jazyka PHP a Python a ktorí majú chuť sa zapojiť do rôznych projektov, ako napríklad už spomínaný WP Scanner. Ak teda ovládate niektorých z týchto jazykov (skutočne dobre, prosím nepíšte mi, ak ste sa ho zrazu začali učiť) a máte ako tak času (viem, že čas je pre dobrého programátora niečo, čo už roky nevidel (nezažil), ale skutočne píšte len ak máte trošku času a chuť), tak sa mi prosím ozvite na môj mail prg\udenac/synopsi\grg/com.
Kedy bude pokracovanie? Ja sa uz neuveritelne tesim na dalsie rady. V tomto by si mal pokracovat :)
pracujem na automatizovanom skenery pre wp, chce to trosku casu
Taka otazka … ? Ake informcie by bolo teoreticky mozne ziskat napr. pomocou zakladnej Kubrikovskej sablony z wordpressu ? Vsetko ? len taka teoreticka otazka …
teoreticky vobec nic. problem je, ak je sablona urobena tak, ze pouzije napriklad sql prikaz, alebo nieco nacitava. to potom je samostatny skritp a je vlastne velka sanca, ze je ju mozne znuzit. nad presnym scenarom som zatial neuvazoval, je to skor v hypotetickej rovine
Díky za radu. A teď šup šup do práce.