IT技術互動交流平台

WordPrese自動更新之後造成漏動怎麼辦

作者|_|凯旋王国官网:whl  發布日期|中央一套 直播:2018-12-12 08:56:00
  最近很多朋友應該都發現了Wordfence更新之後產生的漏洞都會為黑客的進攻提供便利极地海洋世界门票,導致網站很容易就被攻占了---长虹小志玲。它的自動更新能力是默認開啟的_-易旺彩票邀请码,所以使用Wordpress的站點有很大的可能會被黑客黑掉_||陈志平博客。

  簡單說就是利用WordPress更新服務器的弱點--仙剑5破解补丁,控製該服務器_|手机qq2009通用版下载,自然也就能夠同時對所有采用WordPress的網站完成入侵了_|注册送28信誉彩票网。

用WordPress更新服務器的弱點

  一擊黑入全球1/4的網站

  在WordPress生態中||-科幻片排行榜,api.wordpress.org服務器的重要功能在於|塞班5800,為WordPress站點發布自動更新-_|酷派w706软件下载。各WordPress站點|31选7大星走势图福建省,每隔1個小時就會向該服務器發起請求|注册彩票送18元彩金APP,檢查插件_|骑刃王全集、主題和WordPress核心更新__|张柏芝约谈谢霆锋。

  Api.wordpress.org服務器的響應就包括了WordPress各部分是否需要自動更新|_-证大家园业主论坛,響應中也包含下載和安裝更新軟件的URL地址--靖州红网。

  於是_-|众盈彩票真能挣钱吗,隻要搞定了這台服務器_||金庸群侠传2全攻略,黑客也就能夠讓所有的WordPress站點自動從他們自己的URL下載和安全惡意程序了-女相 陆贞传奇txt。也就是說-_|36选7好彩,攻擊者通過api.wordpress.org的自動更新機製--钟 川子,就能大規模黑入大量WordPress站點|-22选5河南最新开奖公告。

  整個過程實際上是完全可行的|--teemzone钱包怎么样,因為WordPress本身並不提供軟件的簽名驗證|公羊羽。它信任api.wordpress.org提供的任意URL地址和包-|易记彩票。WordPress文檔中有提到_|福建少儿频道节目表:默認情況下_-台州美食,每個站點都會開啟自動更新功能|-花沫雨,接收核心文件更新-__断纸机。

  按照Wordfence的說法-新密五个人,黑客隻需要針對api.wordpress.org一擊-_105彩票手机版,就能讓全球超過1/4的網站感染惡意程序-|主流游戏台式机配置。

  Api.wordpress.org漏洞技術細節

  這個更新服務器有個GitHub webhook-_-ro2银线,它能夠讓WordPress核心開發者將代碼同步到wordpress.org SVN庫|-门头沟电大在线,也就能夠將GitHub作為其源代碼庫了_|-蛊惑总裁。這樣一來--爱尚满屋,核心開發者隻要在GitHub提交更改|_0x00070001,就會觸發api.wordpress.org的一個進程|__钢之魔法师2,也就能方便得從GitHub獲得最新代碼_-|盈彩网。

  這裏api.wordpress.org聯係GitHub的URL也就是所謂的“webhook”||尼采s3,這東西是用PHP寫的_-|林娜冰21。此webhook的PHP是開源的--_谈爱 李白,點擊這裏就能獲取_||冬泉豹幼崽怎么获得。

  Wordfence對其中的代碼進行了分析_-|玛雅wang 发信到,發現了其中的一個漏洞-|洪洞贴吧。攻擊者利用該漏洞就能夠在api.wordpress.org上執行任意代碼|-陈大鹏,並且獲得api.wordpress.org的訪問權|-|淘宝网上开店的步骤。實際上也就是遠程代碼執行漏洞了|_众购彩票技巧。

  來自GitHub的請求抵達api.wordpress.org-|苏志变,那麼webhook會通過共享的hashing算法來確認|掌上彩票无法登录,的確是GitHub發出的請求|_云顶娱乐可靠吗?。整個過程是GitHub發出JSON數據_-云购彩票cai877com,它會將數據和共享秘值進行混合|-心跳宝贝之青涩回忆,哈希後將哈希值與JSON數據一同發給api.wordpress.org_金箍棒dota。

  Api.wordpress.org收到請求之後_西雅图邀请赛,也將JSON數據和共享秘值進行混合_|106时时彩网站,然後算哈希|1998分分彩。最終結果如果和GitHub發來的匹配__|155是移动的吗,也就證明了來源是沒問題的--_宝安教育在线基础教育,是GitHub發來的請求_|-1953年1月8日人民日报。

  GitHub采用SHA1來生成哈希_-云购彩票违法吗,並且在header: X-Hub-Signature: sha1={hash}的位置給出簽名|-诺基亚5320xm软件下载。Webhook提取算法和哈希來確認簽名|铁丝丹尼。漏洞也就在於||_长虹手机解锁:代碼會使用客戶端提供的哈希函數_|qq游戏2011官方下载正式版,這裏的客戶端通常情況下當然就是GitHub了--红米手机的缺点。在這個過程中-易富娱乐彩票App,如果能夠繞過webhook認證機製||7k7k奥拉星,攻擊者將能夠向shell_exec直接傳送POST參數_|_召召木木,從而執行遠程代碼並順利入侵api.wordpress.org更新服務器_|雄县地图。

  當然整個過程需要讓webhook認為_|_深圳都市频道节目表,攻擊者是知道共享秘值的|-|丧尸围城2绝密档案。不過webhook能夠讓攻擊者選擇哈希算法_-星光龙门阵,PHP提供了各種算法__|金条树。找個足夠弱的哈希算法---众发娱乐是不是赌博,暴力攻破webhook|132彩票APP苹果,發出一係列哈希_-038彩票是正规的吗?,猜出共享秘值和發送數據的哈希值_黑车交易,直到猜對為止|-_安哒塔图,api.wordpress.org就會響應請求-加雷斯贝尔。

  問題根源沒有解決?

  Wordfence是在今年9月份將該漏洞上報給Automattic(WordPress母公司)的|万联证劵,Automattic與9月7日向代碼庫推了fix(有關補丁詳情-__我是忍者第一猜成语,可以點擊這裏)-_|藏饰项链。不過Wordfence表示api.wordpress.org仍然是部署WordPress核心___掌上大赢家时时彩、插件和主題升級的單點故障根源所在__|炫舞团名。

  Wordfence表示曾經試圖與Automattic安全團隊就有關自動升級係統的安全問題展開對話__南汇酒吧斗殴视频,但沒有得到任何回應_-_金城江租房信息。大約在3年前_|_好千度,就有相關WordPress服務器部署認證機製的探討__无暇陪客说,目前都還沒有任何進展168彩票合法吗。

  可以說使用Wordpress還是存在一定的危險的---038彩票网址,目前wordpress方麵也還沒想出行之有效的方法來解決這個問題-_-涪风论坛,所以大家的網站還是需要注意一些-_1分快3亿彩下载,盡量加固自己的網站防止黑客入侵_松原地震最新消息2018。如果大家對於wordpress還想了解更多也可以自行搜索一番||_093彩票网怎么样,小編這裏就不一一進行講解了__|苟各庄住宿。

延伸閱讀-九死一生是什么生肖:

Tag標簽-|118彩票手机版苹果: 自動更新漏洞   黑客進攻漏洞  
  • 專題推薦

  • Windows7係統入門 優化 技巧技術專題
  • Windows7係統專題 無論是升級操作係統_-网上三好街报价、資料備份-娱乐天地点检手机登录、加強資料的安全及管...... 詳細
About IT165 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯係方式
本站內容來自於互聯網,僅供用於網絡技術學習,學習中請遵循相關法律法規
盛世彩票旺旺彩票聚鑫彩票快乐时时彩江苏快三順彩彩票

免责声明: 本站资料及图片来源互联网文章,本网不承担任何由内容信息所引起的争议和法律责任。所有作品版权归原创作者所有,与本站立场无关,如用户分享不慎侵犯了您的权益,请联系我们告知,我们将做删除处理!