Upload
vokiet
View
222
Download
1
Embed Size (px)
Citation preview
WordPress vs HackerDescubra o que ainda é preciso saber para blindar seu CMS
Quem somos?Thiago DiebLenon Leite
ASZone www.aszone.com.br
Como blindar o WordPress
Fonte https://wappalyzer.com/categories/cms (01/06/2015)
Atual realidade
● 100% seguro == false;● WordPress ou CMS próprio?● WordPress
○ Fácil acoplamento;○ Estável;○ Rápida resposta da
comunidade;
WordPress é seguro ?
Plugins e temas?
● Todos os Plugins e Temas são do WordPress.org == false;
● Utilidade X Segurança == (?);● Pagos X Não pagos == (?);● Quanto ++ Plugins == ++ Risco;● Temas ou plugins piratas == ++
Risco;
Vamos começar….
Algumas falhas conhecidas● LFD (local file download);● File Upload;● Sql Injection;● Brute Force;● XSS - (Cross-site Scripting)
○ Jetpack, Google Analitcs Yost, WordPress SEO;
LFD
“É a vulnerabilidade que possibilita a apresentação ou o download de arquivos”
LFD
http://www.aszone.com.br/2015/06/list-of-potentially-affected-themes-wordpress/
Falha no plugin
Mais de mil temas
LFD
LFD
File upload
“Vulnerabilidade que permite efetuar upload de algum arquivo, no qual o sistema não está preparado.”
File upload
Falha no Tema
File uploadExemplo ...
http://wordpress.local/wp-content/themes/curvo/functions/upload-handler.php
Sql injection
“Ataque que proporciona o invasor inserir ou manipular consultas SQL`s utilizadas por uma
aplicação”
Sql injection
Falha no Plugin
Sql injection
!passo
Dork: inurl:season=*league_id=*matchday
https://google.com/search?q=inurl%3Aseason%3D*league_id%3D*match_day
Sql Injection
python sqlmap.py -u "http://wordpress.local/?season=1&league_id=1&match_day=1&team_id=1" --dbs
Sql Injection
Bruteforce
Modo de proteção
● Utilize senha HARDCORE;● Deixe instalado somente Plugins e Temas que vai utilizar;● Não utilize vários plugins de segurança;● Antes de instalar pesquise sobre os plugins e temas;● Mantenha o core, temas e plugins atualizados;● Ative autenticação de 2 etapas;● Monitore constatemente;● É recomendado alterar do nome do usuário “admin” ?
Previnir - Easy
Previnir - Medium● Altere o "Modo Debug" para false; ● Não habilite a função de edição dos temas e plugins;● Aplique bloqueio de Brute force (WAF/Plugin);● Bloquei visualização de pasta;● Configure adequadamente as permissões de pastas;● Sempre utilize robots.txt;● É mais seguro comprar temas ou plugins ?
Previnir - Hard● Usar as constantes no wp-config:
○ WP_CONTENT_DIR, WP_PLUGIN_DIR, UPLOADS;○ WP_AUTO_UPDATE_CORE, WP_HTTP_BLOCK_EXTERNAL;
● Configurar camadas de segurança na infra;● Aplique pentest no próprio site:
○ Use WpScan;○ Use Metaexploit;
● Altere ou bloquei o endereço do wp-admin/;● Bloquei identificação de usuários;
Mudança de conceito
● Siga os padrões de criação de temas e plugins do WordPress;● Implemente testes unitários;● Pratique "Par Programming";● Pratique "Code Review";● Pentest em ciclos evolutivos;● Utilize metodologia de desenvolvimento seguro;
Proteção além do WordPress
WpScan -> Scan de vunerabilidades em WordPress.http://wpscan.org/SqlMap -> Exploração de sql injection.http://sqlmap.org/MetaSploit -> Exploração de vulnerabilidades. http://www.metasploit.com/John the Ripper -> Ferramenta de Brute Force, e quebra de hashs.http://www.openwall.com/john/InurlBr -> Buscar customizadas em Massa.https://github.com/googleinurl/SCANNER-INURLBR
Ferramentas
Sites e Links importantes.Exploitershttp://www.exploit-db.com/http://1337day.com/http://www.cvedetails.com/
Links interessanteshttp://www.wordpressexploit.com/https://www.facebook.com/inj3ct0rshttps://wordpress.org/
Finalizando...
@lenonleite @ThiagoDieb