Skocz do zawartości

Polecane posty

Słyszeliście jak chłopaki z RIPS znaleźli ok 7k błędów w pluginach do wordpress tylko poprzez statyczną analizę kodu? My również w zespole non stop szukamy błędów w pluginach, tylko staramy się robić ręczne pentesty.

Najgorsze jest to, że trafiły się podatności w pluginach mających zapewnić bezpieczeństwo wordpressowi np. w All In One WP Security & Firewall i tym sposobem ludzie którzy go użyli mogli wyrządzić sobie więcej szkody, niż Ci co go zainstalowali.

 

Jak sobie radzicie z pluginami i wtyczkami do WP i innych popularnych CMSów? Jak wybieracie te, które instalujecie pod kątem security?

 

źródło do badań: https://blog.ripstech.com/2016/the-state-of-wordpress-security/

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

Tak, widziałem to już. Pluginy na WP pisane są właśnie w tak kijowy sposób i to nic nowego. Jak sobie radzę? 0 pluginów które tylko zamulają i nic nie dają pod względem security w wp + cała masa IPS'ów. Najlepiej to oskryptować wp-cli i użyć immutable dla najbardziej narażonych plików + trzymać backupy i skanować pod kątem podatności (oczywiście o ile mamy dostęp z poziomu shell'a). W Joomli może też są podatności, ale jakoś łatwiej je (IMHO) załatać i jakość kodu jest troszkę lepsza. Jest pierdyliard fajnych CMS'ów które moim zdaniem powinny być bardziej promowane - OctoberCMS na laravelu chociażby. WordPress jest fajny na bloga, ale nie do robienia z niego nie wiadomo czego i wiem że Janushe freelancerstwa webowego mnie zjedzą, ale do innych rozwiązań niż blog czy wizytówka są lepsze CMS'y icustomowe rozwiązania.

  • Upvote 2

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki za odpowiedź @Spoofy napisałeś dużo prawdy. No ale widać, że jesteś w tym profesjonalistą :) Również uważam, że słabe security nie jest winą Wordpressa tylko pluginów ale nie uważam, żeby zmiana CMSa pozwoliła uniknąć błędów. Błędy popełniają ludzie, nawet dobrzy programiści. Sam laravel jak napisałeś jest spoko, no ale wystarczy że użyjesz raw do sql query i też będziesz podatny na SQLi.

 

Ale w sumie to dobra opcja na zmianę na mniej popularne narzedzie, ponieważ jak coś jest mało popularne to zazwyczaj nie jest łakomym kąskiem dla ataków masowych :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Spoofy

Nie nazwałbym się wielkim "profesjonalistą", ale czasami coś tam klecę - nawet teraz planując kolejną stronę na WP, ale co zrobisz ;)

Generalnie moja niechęć do WP spowodowana jest tym że częściej widzę te biedne skrypty z poziomu sysadmina i płakać się chce jak widzę co oni potrafią z tym zrobić i jak to działa.

 

Przykład pluginów pisanych z głową? Znajomy Eryk Tracz: https://www.peepso.com/ - jak zerkniesz w kod to zobaczysz jak powinny wyglądać pluginy na WP ;)

 

Masz rację odnośnie Laravela, ale jest to framework w którym bajecznie się pisze i jest dla ludzi myślących - a jak ktoś dobrze pomyśli to wychodzą później bardzo ładne rzeczy. Prawda też jest taka że wszędzie możesz się pomylić, niezależnie od framework'a czy CMS'a.

 

Odnośnie mniej popularnych "narzędzi" - polski rynek jeszcze do tego nie dorósł, ale powoli się to zmienia i rzeczywiście łatwiej tam osiągnąć pewien stopień bezpieczeństwa.

 

Zadając takie pytanie na pewno jestem w stanie zaklasyfikować Cię nie jako typowego Janusha magika od stron co kleci na WP, tylko osobę myślącą, dlatego życzę Ci jak najwięcej zleceń i wszystkiego dobrego w ich realizacji ;)

 

Gdybyś kiedyś potrzebował jakichś rozwiązań pod hosting albo ciekawej oferty pod hosting/reseller to pisz śmiało ;)

Wracam do roboty bo pełno jej przed świętami.

 

Serdecznie pozdrawiam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dziękuję @Spoofy za miłe słowa. Ja jako firma zajmuje się właśnie ochroną takich stron tzn. moja usługa - antywirus dla stron internetowych https://webanti.com ma za zadanie poinformować Cię, że było włamanie i albo sama zareaguje albo zareaguje użytkownik. Niestety ale duża część hostingów nie wiedzieć czemu informuje klientów dopiero o tym że coś się dzieje z ich stroną wtedy kiedy już wyjdzie tysiące maili z jej domeny (i zaczyna to administratorom przeszkadzać - duże kolejki na serwerach pocztowych) albo wtedy kiedy już zablokują stronę.

 

My chcemy dać ludziom możliwość real time monitoringu niezależnie od hostingu.

Dziękuję odnośnie oferty hostingu, na pewno się odezwę w razie potrzeby.

Edytowano przez webanti (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czym ta usługa rożni się od np darmowego virustotal.com ?

 

https://webanti.com - to usługa, w której dodajesz do monitorowania swoją stronę internetową,a nasz antywirus (własnego autorstwa) sprawdza czy na Twojej stronie nie ma wirusa. Jeśli jest to go usuwa - jeśli jest pewny na 100%, że to wirus i nie zrobi krzywdy stronie (np, jeśli wirus nie jest doklejony np. do index.php). Jeśli Webanti nie ma 100% pewności, że znalezione zagrożenie jest wirusem lub jest doklejone do jakiegoś ważnego pliku strony (jak np. index.php) to nie usunie automatycznie wirusa, ale powiadomi CIe abyś się przyjrzał temu - wtedy możesz usunąć go samem z panelu, lub wrzucić plik do kwarantanny itp.

 

Webanti to w sumie usługa, która ma Cię powiadomić jeśli dojdzie do włamania na Twoją stronę, abyś ty mógł zareagować jak najszybciej. Aby nie utracić wypracowanej pozycji w Google, aby twoja domena nie wpadła na spamlisty (bo hakerzy zaczną rozsyłać spam), aby nie podmieniono CI strony itp.

 

Codziennie dodajemy nowe wirusy do naszej bazy, więc z dnia na dzień rośnie wykrywalność. Dodatkowo prowadzimy własne pentesty i zabezpieczamy strony. Naszą misją jest poprawa security już od wielu, wielu lat.

 

Wytłumaczyłem odpowiednio? Czy chciałbyś o coś jeszcze zapytać?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czyli taki https://www.codeguard.com/ tylko o mniejszej funkcjonalności ;)

 

Nie, zupełnie nie. codeguard to usługa, która backupuje Twoją stronę i jeśli coś się na niej zmieni to Cię o tym powiadomi.

My nie zawracamy użytkownikom głowy błahymi zmianami na stronie (np. cache frontu może powodować zmiany, uploady plików przez usera - wszystko zależy od strony). My reagujemy tylko, gdy 'hacker' a raczej atakujący wgra backdoor, malware itp.

 

CodeGuard jest też bardzo drogi - jego najtańszy pakiet jest droższy, niż najdroższy w Webanti. A do tego, Webanti jest w 100% polskim produktem, a teraz modne jest wspieranie tego co polskie :)

 

Ogólnie, to jeśli potrzebował by ktoś jakiegoś kodu rabatowego do webanti to chętnie udzielę. Z racji tego, że jesteśmy młodą usługą liczymy na konstruktywny feedback. Praktycznie codziennie coś nowego ulepszamy/dodajemy. Prace programistyczne mamy już rozpisane na kilka tygodni do przodu, a i tak przesuwamy to co zaplanowane, jeśli ktoś potrzebuje czegoś dodatkowego i jest w stanie nam to porządnie uargumentować. Ostatnią taką zmianą było wprowadzenie opcji pozwalającej na ustawienie czułości skanera.

 

Zapraszam do założenia konta i przetestowania. Aktualnie na płatne pakiety mamy kod rabatowy MIKOŁAJ2016 dający 30% zniżki na wszystkie płatne konta w https://webanti.com

Edytowano przez webanti (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie, zupełnie nie. codeguard to usługa, która backupuje Twoją stronę i jeśli coś się na niej zmieni to Cię o tym powiadomi.

My nie zawracamy użytkownikom głowy błahymi zmianami na stronie (np. cache frontu może powodować zmiany, uploady plików przez usera - wszystko zależy od strony). My reagujemy tylko, gdy 'hacker' a raczej atakujący wgra backdoor, malware itp.

 

Co raczej nie, backup + ochrona przed malware, zmianami w plikach, automatyczne aktualizacje wtyczek do prawie 30 popularnych cms. Uwierz że cache, czy inne pliki ich system rozróżnia - to usługa która istnieje wiele lat. Na nic nie muszą reagować bo wszystko dzieje się automatycznie. Dodatkowo logowanie 2 składnikowe + logowanie IP. Kopie przechowywane na Amazon S3 SSE z szyfrowaniem AES-256. W dodatku możliwość połączenia przez klucze prywatne po ssh + dodatkowe szyfrowanie baz w locie. Wszystko opakowane w White Label + fajne api z dokumentacją - więc wdrożyłem jako pseudo wbudowane w hosting. Cena raczej nie ma znaczenia przy większej ilości stron wychodzą grosze - można sporo negocjować + często mają promocje na roczne konta za parę dolarów.

 

Mimo wszystko powodzenia - fajnie że w Polsce ktoś coś podobnego tworzy jednak jeszcze sporo brakuje aby dorównać konkurencji.

 

Na stronie nie ma informacji w jaki sposób trzymacie dane klientów - to jest najważniejsza kwestia jeżeli mam powierzyć komuś pliki + bazę mojego projektu.

Edytowano przez devon (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Na stronie nie ma informacji w jaki sposób trzymacie dane klientów - to jest najważniejsza kwestia jeżeli mam powierzyć komuś pliki + bazę mojego projektu.

 

Nie trzymamy w żaden sposób Twoich danych. Jedyne co to pobieramy z Twojego serwera sumy md5 plików witryny - analizujemy je, ale nie zapisujemy ich na stałe.

 

Dzięki!

Edytowano przez webanti (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeśli można wiedzieć, to na której bazie AV bazujecie?

Ok, jeśli ktoś ma własny kod shella, lub lekko zmodyfikowany i do tego z base64 to Państwa system nie wykryje już takiej podatności.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

To dalej tylko antywirus który co jakiś czas skanuje pliki i można coś podobnego uzyskać poprzez opensourcowy maldet z clamav.

Ochroną można nazwać dopiero rozwiązania WAF które w trybie rzeczywistym wyłapują ataki.

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeśli można wiedzieć, to na której bazie AV bazujecie?

Ok, jeśli ktoś ma własny kod shella, lub lekko zmodyfikowany i do tego z base64 to Państwa system nie wykryje już takiej podatności.

 

Mamy własną bazę AV i wiele honeypotów rozsianych po internecie. Dodatkowo skanujemy też zawartość plików na podstawie analizy heurystycznej, co pozwala wykrywać zmodyfikowane wirusy, o których Pan pisze, a również takie, które nie są jeszcze znane jako wirusy (tzn - nie zostały jeszcze dodane do baz danych w AV).

To dalej tylko antywirus który co jakiś czas skanuje pliki i można coś podobnego uzyskać poprzez opensourcowy maldet z clamav.

Ochroną można nazwać dopiero rozwiązania WAF które w trybie rzeczywistym wyłapują ataki.

 

Na każdym kroku informujemy, że Webanti to AV, które ma za zadanie informać w trybie rzeczywistym, że ktoś włamał się na stronę i wgrał wirusa/backdoora cokolwiek aby właściciel mógł zareagować.

 

Nie każdy ma własny serwer aby móc zastosować clamav. Dodatkowo clamav jest bardzo znany i hakerzy mogę go oszukać (zrobią odmianę nie wykrywaną przez clamav). Dodatkowo clamav jest trudny w oprogramowaniu aby automatycznie działać jak webanti.

 

Co do WAF niestety również można go ominąć i to w dosyć prosty sposób - sami to ćwiczyliśmy - a tu kilka przykładów jak można i jak to się robi:

 

http://securityidiots.com/Web-Pentest/WAF-Bypass/waf-bypass-guide-part-1.html

https://www.ptsecurity.com/ww-en/download/PT-devteev-CC-WAF-ENG.pdf

 

Prawda jest taka, że wszystko idzie ominąć ale prawdą również jest to, że należy zrobić takie zabezpieczenia i taka ich ilość aby autakującemu nie opłacało się dokonać ataku, a jak ataki są automatyczne to aby można było na nie reagować w czasie rzeczywistym, a nie jak google już nałoży filtr na domenę za malware.

 

Naprawdę chcemy pomóc w kwestii security dlatego pozostawiliśmy darmowy pakiet antywirusowy dla mniej wymagających użytkowników. Reszta cen ledwo pokrywać będzie zużycie serwera przy mocniejszej ochronie (więcej stron i większa częstotliwość). Więc szczerze zachęcam tym bardziej, że webanti robione jest przez polskich specjalistów od security, którzy znają się na swojej robocie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×