Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Lo Stato della Sicurezza nell'Ecosistema di Wor...

Avatar for Gianluca Gianluca
February 09, 2013
Technology
1
70

Lo Stato della Sicurezza nell'Ecosistema di Wordpress

WordCamp Italy 2013 - Bologna

Avatar for Gianluca

Gianluca

February 09, 2013
Tweet

Other Decks in Technology

See All in Technology
MySQL HeatWave:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
3
1.6k
プロダクトエンジニアリングで開発の楽しさを拡張する話
Avatar for sagawa / barometrica barometrica
0
210
メルカリIBIS:AIが拓く次世代インシデント対応
Avatar for ktykogm 0gm
2
460
[OCI Technical Deep Dive] OCIで生成AIを活用するためのソリューション解説(2025年8月5日開催)
Avatar for oracle4engineer oracle4engineer
PRO
0
120
Agent Development Kitで始める生成 AI エージェント実践開発
Avatar for danishi danishi
0
160
あとはAIに任せて人間は自由に生きる
Avatar for Kentaro Kuribayashi kentaro
3
670
LLM 機能を支える Langfuse / ClickHouse のサーバレス化
Avatar for yuu26 yuu26
9
2.7k
Telemetry APIから学ぶGoogle Cloud ObservabilityとOpenTelemetryの現在 / getting-started-telemetry-api-with-google-cloud
Avatar for 逆井(さかさい) k6s4i53rx
0
160
Amazon Inspector コードセキュリティで手軽に実現するシフトレフト
Avatar for mai miya maimyyym
0
140
生成AIによるソフトウェア開発の収束地点 - Hack Fes 2025
Avatar for vaaaaanquish vaaaaanquish
34
16k
生成AI活用のROI、どう測る? DMM.com 開発責任者から学ぶ「AI効果検証のノウハウ」 / ROI of AI
Avatar for Masato Ishigaki / 石垣雅人 i35_267
4
130
Amazon S3 Vectorsは大規模ベクトル検索を低コスト化するサーバーレスなベクトルデータベースだ #jawsugsaga / S3 Vectors As A Serverless Vector Database
Avatar for quiver quiver
2
1k

Featured

See All Featured
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
70
11k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.4k
KATA
Avatar for Megan Lloyd mclloyd
32
14k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
200k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
Adopting Sorbet at Scale
Avatar for Ufuk Kayserilioglu ufuk
77
9.5k
Designing for Performance
Avatar for Lara Hogan lara
610
69k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
279
23k
[RailsConf 2023 Opening Keynote] The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
30
9.6k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
161
15k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
32
1.1k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
351
21k

Transcript

  1. WORDCAMP BOLOGNA - 9 FEBBRAIO 2013 @WORDCAMPBOLOGNA # WPCAMPBO13 Lo

    Stato Attuale della Sicurezza nell'Ecosistema di Wordpress   di GIANLUCA BRINDISI

  2. WPSCAN: CHI, COSA Vulnerability scanner per Wordpress, open source e

    black box http://wpscan.org - @_wpscan_ The Team: •  Ryan Dewhurst (@ethicalhack3r) •  Gianluca Brindisi (@gbrindisi) •  Erwan Le Rousseau (@erwanlr) •  Christian Mehlmauer (@_FireFart_) WORDCAMP BOLOGNA - 9 FEBBRAIO 2013 @WORDCAMPBOLOGNA # WPCAMPBO13

  3. WPSCAN: COME 1.  Information gathering •  File comuni (readme.html, debug.log,

    ...) •  Codice Sorgente (generator tag, plugins paths, ...) 2.  Enumerazione Attiva •  Plugin •  Temi •  Utenti 3.  Bonus •  Login Bruteforcer •  Timthumb scanner WORDCAMP BOLOGNA - 9 FEBBRAIO 2013 @WORDCAMPBOLOGNA # WPCAMPBO13

  4. WPSCAN: COME WORDCAMP BOLOGNA - 9 FEBBRAIO 2013 @WORDCAMPBOLOGNA #

    WPCAMPBO13

  5. WPSCAN: COME Core Version Plugin Temi WORDCAMP BOLOGNA - 9

    FEBBRAIO 2013 @WORDCAMPBOLOGNA # WPCAMPBO13 DB  delle  vulnerabilità  

  6. WPSCAN: IL DATABASE WORDCAMP BOLOGNA - 9 FEBBRAIO 2013 @WORDCAMPBOLOGNA

    # WPCAMPBO13 Vulnerabili1es  DB   Un  po  di  sta+s+che:   •  Core  Vulns:  >  220   •     Plugin  Vulns:  >  480   •     Theme  Vulns:  >  150  

  7. VULNERABILITÀ   WORDCAMP BOLOGNA - 9 FEBBRAIO 2013 @WORDCAMPBOLOGNA #

    WPCAMPBO13

  8. VULNERABILITÀ WORDCAMP BOLOGNA - 9 FEBBRAIO 2013 @WORDCAMPBOLOGNA # WPCAMPBO13

      •  In  Wordpress:   •  Rare   •  Coinvolgono  TUTTI  gli  uten1   •  Non  banali   •  Nei  Plugin  e  nei  Temi:   •  Frequen1   •  L'impaKo  dipende  dalla  popolarità   •  Banali    

  9. VULNERABILITÀ: WORDPRESS CORE WORDCAMP BOLOGNA - 9 FEBBRAIO 2013 @WORDCAMPBOLOGNA

    # WPCAMPBO13 Wordpress  è  abbastanza  sicuro:   •  E'  un  prodoKo  maturo   •  Sviluppato  professionalmente   •  Lo  sviluppo  è  centralizzato   Qualche  vulnerabilità  recente:   •  XMLRPC  Pingback  Portscanner  [0]   •  Cross-­‐Site  Request  Forgery  (CSRF)  [1]   •  Cross-­‐Site  Scrip1ng  (XSS)  [2]   hKps://github.com/wpscanteam/wpscan/wiki/WordPress-­‐3.5-­‐Issues   [0]:  hKps://github.com/FireFart/WordpressPingbackPortScanner   [1]:  hKp://packetstormsecurity.com/files/116785   [2]:  hKp://www.ethicalhack3r.co.uk/wordpress-­‐3-­‐3-­‐cross-­‐site-­‐scrip1ng-­‐xss/  

  10. VULNERABILITÀ: PLUGIN/TEMI DI TERZE PARTI WORDCAMP BOLOGNA - 9 FEBBRAIO

    2013 @WORDCAMPBOLOGNA # WPCAMPBO13 I  plugin  e  i  temi  sono  PIENI  di  bug:   •  Mol1  sono  sviluppato  amatorialmente   •  Più  di  30  plugin/temi  nuovi  al  giorno   •  Mol1  di  più  sono  vendu1  aKraverso  piaKaforme   commerciali  (i.e.  ThemeForest)     Vulnerabilità  ad  alto  impaBo:   •  SQL  Injec1on  (SQLi)   •  Remote/Local  File  Inclusion  (RFI/LFI)   •  Cross-­‐Site  Scrip1ng  (XSS)   •  ...  

  11. VULNERABILITÀ: PLUGIN/TEMI DI TERZE PARTI WORDCAMP BOLOGNA - 9 FEBBRAIO

    2013 @WORDCAMPBOLOGNA # WPCAMPBO13 ...  Davvero?  

  12. VULNERABILITÀ: PLUGIN/TEMI DI TERZE PARTI WORDCAMP BOLOGNA - 9 FEBBRAIO

    2013 @WORDCAMPBOLOGNA # WPCAMPBO13 Agosto  2011:  Mark  Marauder  scopre  una  vulnerabilità  in    TimThumb   hKp://markmaunder.com/2011/08/01/zero-­‐day-­‐vulnerability-­‐in-­‐many-­‐wordpress-­‐themes/   X*   Plugin/Temi  coinvol1   *  Al  tempo  non  avevamo  le  risorse  per  trovare  il  numero  esaKo.  In  compenso  abbiamo   scriKo  un  1mthumb  scanner.  

  13. VULNERABILITÀ: PLUGIN/TEMI DI TERZE PARTI WORDCAMP BOLOGNA - 9 FEBBRAIO

    2013 @WORDCAMPBOLOGNA # WPCAMPBO13 Agosto  2011:  Miroslav  Stampar  (@stamparm)  decide  di  dare  un'occhiata  alla   directory  dei  plugin....   hKp://www.exploit-­‐db.com/search/? ac1on=search&filter_page=1&filter_descrip1on=&filter_exploit_text=wordpress&filter_author=miro slav +stampar&filter_plaoorm=0&filter_type=0&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve=  

  14. VULNERABILITÀ: PLUGIN/TEMI DI TERZE PARTI WORDCAMP BOLOGNA - 9 FEBBRAIO

    2013 @WORDCAMPBOLOGNA # WPCAMPBO13 64     Plugin  vulnerabili  alle  SQL  Injec1ons   hKp://www.exploit-­‐db.com/search/? ac1on=search&filter_page=1&filter_descrip1on=&filter_exploit_text=wordpress&filter_author=miro slav +stampar&filter_plaoorm=0&filter_type=0&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve=   Agosto  2011:  Miroslav  Stampar  (@stamparm)  decide  di  dare  un'occhiata  alla   directory  dei  plugin....  

  15. VULNERABILITÀ: PLUGIN/TEMI DI TERZE PARTI WORDCAMP BOLOGNA - 9 FEBBRAIO

    2013 @WORDCAMPBOLOGNA # WPCAMPBO13 SeKembre  2011:  Ben  Schmidt  (@_supernothing)  sistema1camente  scansiona  i   server  SVN  alla  ricerca  di  paKern  RFI/LFI  elementari...   hKp://spareclockcycles.org/2011/09/18/exploitring-­‐the-­‐wordpress-­‐extension-­‐repos/  

  16. VULNERABILITÀ: PLUGIN/TEMI DI TERZE PARTI WORDCAMP BOLOGNA - 9 FEBBRAIO

    2013 @WORDCAMPBOLOGNA # WPCAMPBO13 hKp://spareclockcycles.org/2011/09/18/exploitring-­‐the-­‐wordpress-­‐extension-­‐repos/   38   Plugins  vulnerabili  a  RFI/LFI   SeKembre  2011:  Ben  Schmidt  (@_supernothing)  sistema1camente  scansiona  i   server  SVN  alla  ricerca  di  paKern  RFI/LFI  elementari...  

  17. VULNERABILITÀ: PLUGIN/TEMI DI TERZE PARTI WORDCAMP BOLOGNA - 9 FEBBRAIO

    2013 @WORDCAMPBOLOGNA # WPCAMPBO13 Novembre  2012:  Una  vulnerabilità  di  1po  XSS  viene  scoperta  in  una  applet  flash   (swfupload.swf).  Insieme  con  Ryan  decidiamo  di  cercare  quan1  plugin  sono   coinvol1...   hKp://brindi.si/g/blog/vulnerable-­‐swf-­‐bundled-­‐in-­‐wordpress-­‐plugins.html  

  18. VULNERABILITÀ: PLUGIN/TEMI DI TERZE PARTI WORDCAMP BOLOGNA - 9 FEBBRAIO

    2013 @WORDCAMPBOLOGNA # WPCAMPBO13 Novembre  2012:  Una  vulnerabilità  di  1po  XSS  viene  scoperta  in  una  applet  flash   (swfupload.swf).  Insieme  con  Ryan  decidiamo  di  cercare  quan1  plugin  sono   coinvol1...   hKp://brindi.si/g/blog/vulnerable-­‐swf-­‐bundled-­‐in-­‐wordpress-­‐plugins.html   40   Plugin  Vulnerabili  

  19. VULNERABILITÀ: PLUGIN/TEMI DI TERZE PARTI WORDCAMP BOLOGNA - 9 FEBBRAIO

    2013 @WORDCAMPBOLOGNA # WPCAMPBO13 Basta  un'occhiata  veloce  nelle  directory  di  plugin   e    temi  per  trovare  vulnerabilità     La  carva  no1zia  è  che  non  c'è  nessun  controllo   di  qualità     La  buona  no1zia  è  che  i  repository  SVN  sono  di   pubblico  dominio  

  20. VULNERABILITÀ: PLUGIN/TEMI DI TERZE PARTI WORDCAMP BOLOGNA - 9 FEBBRAIO

    2013 @WORDCAMPBOLOGNA # WPCAMPBO13 Qual'è  la  situazione  nei  market  place  commerciali   come  ThemeForest?    

  21. VULNERABILITÀ: PLUGIN/TEMI DI TERZE PARTI WORDCAMP BOLOGNA - 9 FEBBRAIO

    2013 @WORDCAMPBOLOGNA # WPCAMPBO13 Qual'è  la  situazione  nei  market  place  commerciali   come  ThemeForest?     Non  c'è  nessun  controllo  qualità  

  22. VULNERABILITÀ: PLUGIN/TEMI DI TERZE PARTI WORDCAMP BOLOGNA - 9 FEBBRAIO

    2013 @WORDCAMPBOLOGNA # WPCAMPBO13 Qual'è  la  situazione  nei  market  place  commerciali   come  ThemeForest?     Non  c'è  nessun  controllo  qualità     È  tuKo  closed  source  

  23. VULNERABILITÀ: PLUGIN/TEMI DI TERZE PARTI WORDCAMP BOLOGNA - 9 FEBBRAIO

    2013 @WORDCAMPBOLOGNA # WPCAMPBO13 Qual'è  la  situazione  nei  market  place  commerciali   come  ThemeForest?     Non  c'è  nessun  controllo  qualità     È  tuKo  closed  source     TuKo  quello  che  possiamo  fare  è  trovare  i  temi   vulnerabili  tramite  google  dorks  

  24. VULNERABILITÀ: PLUGIN/TEMI DI TERZE PARTI WORDCAMP BOLOGNA - 9 FEBBRAIO

    2013 @WORDCAMPBOLOGNA # WPCAMPBO13 Errori  Comuni     •  Nessun  controllo  sull'input  utente   •  Inclusione  di  script  terzi  vulnerabili   •  TimThumb   •  SWFupload   •  PLupload   •  ...  

  25. VULNERABILITÀ: COME COLLEZIONARLE TUTTE WORDCAMP BOLOGNA - 9 FEBBRAIO 2013

    @WORDCAMPBOLOGNA # WPCAMPBO13 •  Da  dove  prendiamo  le  informazioni:   •  Wordpress  CHANGELOG!   •  Exploit/Advisory  directories/ml   •  Exploit-­‐db.com   •  Full  Disclosure  ML   •   ....   •  Honeypots  (sperimentale)   •  Passaparola  -­‐>  TwiKer!   •  Cerchiamo  le  vulnerabilità  direKamente  -­‐>  SVN   crawling!   •  Abbiamo  scriKo  un  bot  per  aiutarci:  @wpvulns   •  E  abbiano  anche  il  nostro  SVN  spider  

  26. VULNERABILITÀ: COME COLLEZIONARLE TUTTE WORDCAMP BOLOGNA - 9 FEBBRAIO 2013

    @WORDCAMPBOLOGNA # WPCAMPBO13 Il  processo:     1.  Advisory     2.  Tes1ng!  (se  ne  vale  la  pena)     3.  Nel  caso  di  uno  0day  cerchiamo  di  contaKare  gli   autori  (plugin/temi)  o  direKamente  il  team  di   Wordpress  (core)     4.  Aggiungiamo  la  vulnerabilità  al  DB  

  27. VULNERABILITÀ: REPORT WORDCAMP BOLOGNA - 9 FEBBRAIO 2013 @WORDCAMPBOLOGNA #

    WPCAMPBO13 Segnalare  una  vulnerabilità  non  è  immediato:   •  Spesso  veniamo  ignora1   •  Il  bug  viene  patchato  di  nascosto   Generalmente  segnaliamo  direBamente  al  team  di   Wordpress  che  si  occupa  di  disabilitare  la  pagina  del   plugin/tema  dalla  directory  

  28. VULNERABILITÀ: REPORT WORDCAMP BOLOGNA - 9 FEBBRAIO 2013 @WORDCAMPBOLOGNA #

    WPCAMPBO13 Lo  sviluppatore  /  designer  ideale   •  Implementa  uno  schema  di  versioning   •  Tiene  aggiornato  il  CHANGELOG   •  Non  soKovaluta  un'advisory   •  Corregge  i  bug  e  fa  del  suo  meglio  per  allertare  gli   uten1  

  29. CONCLUSIONI WORDCAMP BOLOGNA - 9 FEBBRAIO 2013 @WORDCAMPBOLOGNA # WPCAMPBO13

    Il  tool  serve  per  controllare  periodicamente  la  presenza  di   vulnerabilità.     Lavoriamo  quo1dianamente  per  mantenere  l'ecosistema  di   Wordpress  più  sicuro.     TuKo  quello  che  facciamo  è  open  source  -­‐>  CONTRIBUITE!   hKp://wpscan.org  -­‐  @_wpscan_  

  30. DOMANDE? WORDCAMP BOLOGNA - 9 FEBBRAIO 2013 @WORDCAMPBOLOGNA # WPCAMPBO13

    Gianluca  Brindisi   hKp://brindi.si/g/            @gbrindisi