.jpg)
WPScan הינו אחד הכלים הבסיסיים לביצוע בדיקת אבטחה. במאמר זה אדגים את השימוש בכלי זה על אתר pepper אתר בנקאי שמבוסס על וורדפרס ובו איתרתי הרבה חולשות אבטחה. בהמשך אציג כיצד כל אחד יכול לגלות חולשות אבטחה מהסוג הזה, וכמה פשוט לתקן אותן. הבדיקה הראשונה שכל בונה אתרים צריך לבצע היא באמצעות שימוש ב- WPScan.
האם צריך להשקיע באבטחה של אתרי תדמית/אתרים קטנים?
יש שטוענים שאתרי תדמית, אפילו של בנק, לא ממש צריכים אבטחה כי אין נגישות לפרטים אישיים של הגולש. זו כמובן טעות כי אפשר לעשות המון עם “רק אתר תדמית”. אתר תדמית של בנק הוא אתר שמופיע בפרסומות של הבנק, ניזון מהתדמית של הבנק ומרכז תנועה של לקוחות פוטנציאלים שיש להם כבר אמון כלפי האתר כי הם נכנסו אליו בעקבות פרסומת, קישור שקיבלו מהבנקאי או פרסום אחר. העובדה שהם מוכנים לתת אמון ולהשתלט על אתר כזה היא מתנה. למשל, להחליף את הקישור של ההורדה לאפליקציה של ‘פפר’ לאתר אחר שמבקש כרטיס אשראי, להקפיץ פופ-אפ שמבקש מהגולשים להתקין תוכנה זדונית מסוימת בתמורה לכסף שהבנק ייתן להם, להעביר אותם לאתר פישינג של הבנק שבו הם ינסו לעשות לוג-אין וכו’. לא חסרות דרכים להתקפה.
אתר מסוג זה הוא מטרה מפתה לפריצות אבטחה בגלל שמי שאחראי על הייצור שלו הוא מחלקת השיווק (לא טכנולוגיית במיוחד) שמעבירה את זה לקבלני משנה ואף אחד לא שם דגש על האבטחה. האקרים פוטנציאליים יתמקדו ראשית באתרים כאלו.
גם אם האתר שלכם הוא אתר של חברה קטנה, עדיין שווה להשקיע באבטחה. גם מנהלי חברות קטנות לא רוצים לככב בעיתון אחרי שאיזה האקר אינדונזי השחית את האתר, במיוחד כשקל למזער את חולשות האתר.
לעבודה ולאבטחה
אז אחרי שפירקנו את הטענה של "רק אתר תדמית", נציג את המקרה של אתר פפר בהקשר של הגנה בסיסית של סקירת האתר.
נכנס לקאלי (דרך אמזון, דוקר או בכל דרך אחרת) ונכתוב:
wpscan -u https://MYSITE.com -r
מה זה אומר? מה שמגיע אחרי הפלאג u- זה ה-URL שאנחנו רוצים לבדוק. חשוב לציין שמדובר בבדיקה סטטית של מקומות ש’מותר’ להסתכל בהם. אין כאן חדירה אקטיבית. זה לא SQLmap או כל דבר אחר שמהווה חדירה. מדובר בסריקה שאינה שונה מסריקה ידנית, רק אוטומטית.
הפלאג r- הוא על מנת לשנות את ה-user agent כלומר לתת אינדיקציה של ‘דפדפן אמיתי’ לשרת, מומלץ להוסיף את זה.
מיד לאחר ההרצה, תקבלו רשימת חולשות אבטחה שיש לתקן אותן. המטרה בסופו של דבר היא להביא את רשימת החולשות ל-0. כשאתם בונים אתר, מומלץ ורצוי בסיום העבודה להריץ את זה על הקאלי שלכם, לראות את החולשות ולסדר אותן. אתר שיש לו 0 דיווחים של wpscan הוא חדיר הרבה פחות מאשר אתר עם רשימת ליקויים ארוכה. כשאני סורק אתר ורואה 0 ליקויים, אני מבין שמקצוען עבד על האתר הזה.
כאשר עשיתי סריקה על אתר pepper רשימת החולשות הייתה ארוכה מאוד.
אם תבדקו – ברגע שאנחנו סורקים את האתר שלנו עם wpscan, אנחנו רואים מיד דיווח של מה שהוא רואה. אפשר לראות שחלק מהתקלות קלות מאוד לתיקון.
למשל:
[!] The WordPress 'http://pepper.co.il/readme.html' file exists exposing a version number
איך מתקנים? לא צריך תוסף אבטחה – פשוט מוחקים את הקובץ.
למה זו נחשבת פרצת אבטחה? כי כמה שפחות מידע לסקריפטים יותר טוב.
או למשל:
Full Path Disclosure (FPD) in 'http://pepper.co.il/wp-includes/rss-functions.php':
כשנכנסים לנתיב הזה אנחנו רואים שגיאת PHP, דבר שעדיף לא לראות. איך מתקנים? עם htaccess :
php_flag display_errors off
או בכמה דרכים אחרות.
רואים תקלה שאתם לא יודעים איך לתקן? תשתמשו בגוגל. זה מה שיפה בכלים פופולאריים. התקלות שהם מדפיסים מופיעות בכל מקום עם הסברים וסיוע על התקלות. סיימתם לתקן את הכל? הדפיסו את דו”ח השגיאות לפני ואחרי ושלחו ללקוח.
עדכונים אוטומטיים
מה ש-wpscan עושה בנוסף זה בדיקה של הגרסאות של וורדפרס והתוספים. במידה ויש בלוגים הסבר על הפרצות אז אפילו לא שולחים אתכם לחפש – יש קישורים לתיעוד המדויק של הפרצות שבדרך כלל כולל הסבר איך לנצל אותן.
גרסת הוורדפרס של אתר פפר היתה מאוד לא מעודכנת וכפי שניתן לראות בתמונה לעיל, יש הסברים על כל חולשה וחולשה שנוצרה מאי עדכון גרסה. וכמו הליבה של וורדפרס, יש לנו גם את התוספים של וורדפרס. אתר פפר הכיל גם תוספים לא מעודכנים. תיעוד מדויק של כל החולשות של התוספים כולל קישורים כבר מופיע בסריקה.
עכשיו אנחנו רואים כמה זה חשוב. כי אפשר לקלוט את זה מאוד מהר. זה לא רק האקר שמפעיל את זה – זה סקריפט שיש לו פלט. יש סקריפטים שכבר נכתבו ומנצלים אוטומטית את הפרצה הזו.
מה זאת אומרת? יושב לו האקר, הפעם אמיתי, על הלוגים של העדכונים – מגלה שתוסף מסוים עודכן ממש הרגע עם patch לבעיית אבטחה. הוא יבדוק מהי בעיית האבטחה ויכתוב סקריפט קטן שמנצל אותה וימכור לנוכלים. מתישהו הכלי ידלוף לחברים שיתחילו להפעיל אותו על אתרים ישראלים וכשהם יצליחו אנחנו נראה עוד כותרת בעיתון. עכשיו אתם רואים כמה זה קל. איך מונעים את זה? עדכון אוטומטי ומיידי של התוספים באמצעות שתי שורות ב-wp-config.php.
add_filter( 'auto_update_plugin', '__return_true' );
ולוודא כמובן שהאתר מתעדכן באופן סדיר, זה אמור להיות אוטומטי אבל חשוב לוודא את זה.
עדכונים אוטומטיים יכולים לשבור אתר. הפתרון ללקוחות שמפחדים שזה יקרה הוא להרים גרסה נוספת – גרסת פיתוח של האתר שמתעדכנת בעדכונים העתידיים של הפיתוח ולקבל התראה על כל שינוי.
*הליקויים נמסרו לדוברת של בנק לאומי לפני מספר שבועות על ידי עיתון הארץ, ורובם תוקנו.
מאמר זה הינו מאמר דיעה.
מאת: רן בר זיק, מתכנת ובלוגר
WPScan הינו אחד הכלים הבסיסיים לביצוע בדיקת אבטחה. במאמר זה אדגים את השימוש בכלי זה על אתר pepper אתר בנקאי שמבוסס על וורדפרס ובו איתרתי הרבה חולשות אבטחה. בהמשך אציג כיצד כל אחד יכול לגלות חולשות אבטחה מהסוג הזה, וכמה פשוט לתקן אותן. הבדיקה הראשונה שכל בונה אתרים צריך לבצע היא באמצעות שימוש ב- WPScan.
האם צריך להשקיע באבטחה של אתרי תדמית/אתרים קטנים?
יש שטוענים שאתרי תדמית, אפילו של בנק, לא ממש צריכים אבטחה כי אין נגישות לפרטים אישיים של הגולש. זו כמובן טעות כי אפשר לעשות המון עם “רק אתר תדמית”. אתר תדמית של בנק הוא אתר שמופיע בפרסומות של הבנק, ניזון מהתדמית של הבנק ומרכז תנועה של לקוחות פוטנציאלים שיש להם כבר אמון כלפי האתר כי הם נכנסו אליו בעקבות פרסומת, קישור שקיבלו מהבנקאי או פרסום אחר. העובדה שהם מוכנים לתת אמון ולהשתלט על אתר כזה היא מתנה. למשל, להחליף את הקישור של ההורדה לאפליקציה של ‘פפר’ לאתר אחר שמבקש כרטיס אשראי, להקפיץ פופ-אפ שמבקש מהגולשים להתקין תוכנה זדונית מסוימת בתמורה לכסף שהבנק ייתן להם, להעביר אותם לאתר פישינג של הבנק שבו הם ינסו לעשות לוג-אין וכו’. לא חסרות דרכים להתקפה.
אתר מסוג זה הוא מטרה מפתה לפריצות אבטחה בגלל שמי שאחראי על הייצור שלו הוא מחלקת השיווק (לא טכנולוגיית במיוחד) שמעבירה את זה לקבלני משנה ואף אחד לא שם דגש על האבטחה. האקרים פוטנציאליים יתמקדו ראשית באתרים כאלו.
גם אם האתר שלכם הוא אתר של חברה קטנה, עדיין שווה להשקיע באבטחה. גם מנהלי חברות קטנות לא רוצים לככב בעיתון אחרי שאיזה האקר אינדונזי השחית את האתר, במיוחד כשקל למזער את חולשות האתר.
לעבודה ולאבטחה
אז אחרי שפירקנו את הטענה של "רק אתר תדמית", נציג את המקרה של אתר פפר בהקשר של הגנה בסיסית של סקירת האתר.
נכנס לקאלי (דרך אמזון, דוקר או בכל דרך אחרת) ונכתוב:
wpscan -u https://MYSITE.com -r
מה זה אומר? מה שמגיע אחרי הפלאג u- זה ה-URL שאנחנו רוצים לבדוק. חשוב לציין שמדובר בבדיקה סטטית של מקומות ש’מותר’ להסתכל בהם. אין כאן חדירה אקטיבית. זה לא SQLmap או כל דבר אחר שמהווה חדירה. מדובר בסריקה שאינה שונה מסריקה ידנית, רק אוטומטית.
הפלאג r- הוא על מנת לשנות את ה-user agent כלומר לתת אינדיקציה של ‘דפדפן אמיתי’ לשרת, מומלץ להוסיף את זה.
מיד לאחר ההרצה, תקבלו רשימת חולשות אבטחה שיש לתקן אותן. המטרה בסופו של דבר היא להביא את רשימת החולשות ל-0. כשאתם בונים אתר, מומלץ ורצוי בסיום העבודה להריץ את זה על הקאלי שלכם, לראות את החולשות ולסדר אותן. אתר שיש לו 0 דיווחים של wpscan הוא חדיר הרבה פחות מאשר אתר עם רשימת ליקויים ארוכה. כשאני סורק אתר ורואה 0 ליקויים, אני מבין שמקצוען עבד על האתר הזה.
כאשר עשיתי סריקה על אתר pepper רשימת החולשות הייתה ארוכה מאוד.
אם תבדקו – ברגע שאנחנו סורקים את האתר שלנו עם wpscan, אנחנו רואים מיד דיווח של מה שהוא רואה. אפשר לראות שחלק מהתקלות קלות מאוד לתיקון.
למשל:
[!] The WordPress 'http://pepper.co.il/readme.html' file exists exposing a version number
איך מתקנים? לא צריך תוסף אבטחה – פשוט מוחקים את הקובץ.
למה זו נחשבת פרצת אבטחה? כי כמה שפחות מידע לסקריפטים יותר טוב.
או למשל:
Full Path Disclosure (FPD) in 'http://pepper.co.il/wp-includes/rss-functions.php':
כשנכנסים לנתיב הזה אנחנו רואים שגיאת PHP, דבר שעדיף לא לראות. איך מתקנים? עם htaccess :
php_flag display_errors off
או בכמה דרכים אחרות.
רואים תקלה שאתם לא יודעים איך לתקן? תשתמשו בגוגל. זה מה שיפה בכלים פופולאריים. התקלות שהם מדפיסים מופיעות בכל מקום עם הסברים וסיוע על התקלות. סיימתם לתקן את הכל? הדפיסו את דו”ח השגיאות לפני ואחרי ושלחו ללקוח.
עדכונים אוטומטיים
מה ש-wpscan עושה בנוסף זה בדיקה של הגרסאות של וורדפרס והתוספים. במידה ויש בלוגים הסבר על הפרצות אז אפילו לא שולחים אתכם לחפש – יש קישורים לתיעוד המדויק של הפרצות שבדרך כלל כולל הסבר איך לנצל אותן.
גרסת הוורדפרס של אתר פפר היתה מאוד לא מעודכנת וכפי שניתן לראות בתמונה לעיל, יש הסברים על כל חולשה וחולשה שנוצרה מאי עדכון גרסה. וכמו הליבה של וורדפרס, יש לנו גם את התוספים של וורדפרס. אתר פפר הכיל גם תוספים לא מעודכנים. תיעוד מדויק של כל החולשות של התוספים כולל קישורים כבר מופיע בסריקה.
עכשיו אנחנו רואים כמה זה חשוב. כי אפשר לקלוט את זה מאוד מהר. זה לא רק האקר שמפעיל את זה – זה סקריפט שיש לו פלט. יש סקריפטים שכבר נכתבו ומנצלים אוטומטית את הפרצה הזו.
מה זאת אומרת? יושב לו האקר, הפעם אמיתי, על הלוגים של העדכונים – מגלה שתוסף מסוים עודכן ממש הרגע עם patch לבעיית אבטחה. הוא יבדוק מהי בעיית האבטחה ויכתוב סקריפט קטן שמנצל אותה וימכור לנוכלים. מתישהו הכלי ידלוף לחברים שיתחילו להפעיל אותו על אתרים ישראלים וכשהם יצליחו אנחנו נראה עוד כותרת בעיתון. עכשיו אתם רואים כמה זה קל. איך מונעים את זה? עדכון אוטומטי ומיידי של התוספים באמצעות שתי שורות ב-wp-config.php.
add_filter( 'auto_update_plugin', '__return_true' );
ולוודא כמובן שהאתר מתעדכן באופן סדיר, זה אמור להיות אוטומטי אבל חשוב לוודא את זה.
עדכונים אוטומטיים יכולים לשבור אתר. הפתרון ללקוחות שמפחדים שזה יקרה הוא להרים גרסה נוספת – גרסת פיתוח של האתר שמתעדכנת בעדכונים העתידיים של הפיתוח ולקבל התראה על כל שינוי.
*הליקויים נמסרו לדוברת של בנק לאומי לפני מספר שבועות על ידי עיתון הארץ, ורובם תוקנו.
מאמר זה הינו מאמר דיעה.
מאת: רן בר זיק, מתכנת ובלוגר
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר