每日分享最新,最流行的软件开发知识与最新行业趋势,希望大家能够一键三连,多多支持,跪求关注,点赞,留言这篇博文描述了 WordPress 的 pingbacks 实现中一个非常简单的漏洞WordPress 是世界上最受欢迎的内容管理系统, 超过 40% 的网站都在使用它。
这种广泛采用使其成为威胁参与者和安全研究人员的首要目标,他们通过他们的公共漏洞赏金计划报告安全问题而获得报酬 漏洞经纪人也非常有兴趣获取未修补的漏洞,使他们能够接管 WordPress 实例,有时会为关键漏洞提供高达 300,000 美元的报价。
因此,WordPress 有一个经过严格审查的代码库,预计研究人员不会再在其中找到唾手可得的成果我之前对该目标的研究需要广泛的专业知识和努力来发现安全问题 这篇博文描述了 WordPress 的 pingbacks 实现中一个非常简单的漏洞。
虽然此漏洞对 WordPress 的大多数用户的影响很小,但相关的易受攻击的代码模式值得记录,因为它也可能存在于大多数 Web 应用程序中这篇博文的目的是宣传这种模式并提高认识披露该漏洞已于 1 月 21 日报告给 WordPress;尚无修复方法。
请参阅补丁部分以获得有关适用于您的 WordPress 实例的潜在补救措施的指导 这是我和我的团队第一次发布有关未修补漏洞的详细信息,这个决定并非草率做出大约六年前的 2017 年 1 月,另一位研究人员和多年来的许多其他人首次报告了这个问题。
在我的报告和进一步调查之后,我还可以识别出多篇公共博客文章,这些文章记录了与我今天要介绍的行为相同的行为 由于其原样的低影响、之前的发布以及将其链接到第三方软件中的其他漏洞的需要,我相信这个版本不会危及 WordPress 用户,只会帮助他们加强他们的实例。
影响在不依赖其他易受攻击的服务的情况下,我无法通用地确定利用此行为来接管易受攻击实例的方法 它可以减轻对受影响组织内部网络中其他漏洞的利用,例如,使用最近的 Confluence OGNL 注入之一,@orange_8361在 Jenkins 中发现的史诗远程代码执行,或AssetNote记录的其他链之一。
技术细节在 Pingback 功能中使用易受攻击的结构Pingbacks 是博客作者在其他“朋友”博客引用给定文章时得到通知和显示的一种方式:它们与评论一起显示,可以自由接受或拒绝在幕后,博客必须相互执行 HTTP 请求以识别链接的存在。
访问者也可以触发此机制此功能受到广泛批评,因为它使攻击者能够通过恶意要求数千个博客检查单个受害服务器上的 pingback 来执行分布式拒绝服务攻击由于社交和社区功能在个人博客方面的重要性,因此在 WordPress 实例上默认情况下仍启用 Pingbacks。
但是,预计这些请求不会发送到同一服务器或本地网段上托管的其他内部服务pingback 功能在 WordPress 的 XML-RPC API 上公开提醒一下,这是一个需要 XML 文档的 API 端点,客户端可以在其中选择要调用的函数和参数。
其中一个实现的方法是pingback.ping,期望参数pagelinkedfrom和pagelinkedto:第一个是引用第二个的文章的地址 pagelinkedto必须指向本地实例的现有文章,此处http://blog.tld/?p=1,以及pagelinkedfrom应包含指向 的链接的外部 URL pagelinkedto。
以下是对此端点的请求:HTTP1个POST /xmlrpc.php HTTP/1.12个主机:POST /xmlrpc.php HTTP/1.1Host: blog.tld [...]
pingback.ping http://evil.tld
http://blog.tld/?p=1
URL 验证的实现WordPress 核心方法 wp_http_validate_url() 对用户提供的 URL 运行几个检查以降低滥用风险例如: 目的地不能包含用户名和密码;主机名不得包含以下字符:#:?[]。
域名不应指向本地或私有 IP 地址,如 127.0.0.1、192.168.* 等URL 的目标端口必须是 80、443 或 8080第三步可能涉及解析域名(如果 URL 中存在)(例如,http://foo.bar.tld)。
在这种情况下,远程服务器的 IP 地址是通过解析 URL [1]并稍后在验证它以排除非公共 IP 范围之前解析它[2]获得的:src/wp-includes/http.php
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。