Seguridad Ofensiva en WordPress

Transcripción

1 V WordPress Meetup Facultad de Ciencias del Trabajo Seguridad Ofensiva en WordPress EDUARDO SÁNCHEZ

2 Readme.html Eduardo Sánchez (Profesor F.P.) Ingeniero Informático / Master Seguridad TIC Comunidades: Hack&Beers Hacking Ético ANPhacket QurtubaCON

3 DISCLAIMER Aviso Legal y Descargo de Responsabilidad El objetivo de lo mostrado en las siguientes diapositivas tiene fines educativos para aprender a mejorar la Seguridad en el CMS WordPress. No me hago responsable del mal uso que se le pueda dar a las herramientas mostradas. En el desarrollo de la presentación se ha hecho uso de herramientas intrusivas sobre sitios Web propios o con permisos de sus administradores. En ningún momento se ha vulnerado la seguridad de ningún sitio Web de los cuales se han utilizado para realizar las diapositivas.

4 Bloqueo WAF al Administrador

5 Los números WordPress wins! CMS MÁS ATACADO

6 Noticias en Internet Robo de credenciales Hacen uso fallo Cropt Site Scripting ( XSS ) Inyección de código malicioso. XSS persistente (inyectado en BBDD) Envío de credenciales a ciberdelincuentes. Interceptan los datos, los codifican en BASE64 y ofuscan para enviar con petición GET. SITIOS ACTUALIZADOS

7 Noticias en Internet Botnet de sitios WordPress Infección de binarios de Linux y archivos PHP. Los equipos pasan a formar parte de la botnet Torte. Comienzan a distribuir Spam. Un total de 2615 plugins vulnerables permitía la infección de la BotNet. El más utilizado para las infeccíones en los sites ha sido Revolution Slider.

8 Noticias en Internet Plugins Vulnerables JetPack: añade funcionalidades básicas a nuestro WordPress (RRSS, estadísticas ) Twenty Fifteen: diseñador de temas (complemento by default) Ambos usan un paquete conocido como genericons, con fichero vulnerable a XSS example.html. Permite ejecutar código Javascript malicioso y secuestrar un sitio WordPress desde el navegador si el propietario está autenticado como administrador.

9 Modus Operandi Fingerprinting Web 1. Identificar el Servidor Web 2. Indentificar el CMS 3. Identificar plugins del CMS y vulneabilidades

10 Identificando el Servidor Banner Grabbing

11 Identificando la Web WhatWeb Servidor Web: Apache Tecnología: HTML5 / PHP / Uso de Sesiones PHP / JavaScript Localización: Alemania Servidor Web: Apache SSOO: Ubuntu 14 Tecnología: PHP / Uso de Sesiones PHP Localización: España

12 Información del CMS WPScan

13 Información del CMS WPScan CVE CVE CVE

14 Información del CMS WPScan

15 Información del CMS CMSmap

16 Descubrimiento de Directorios DirBuster Fuerza Bruta

17 Descubrimiento de Directorios OWASP ZAP Spider

18 Información del CMS Tools WhatWeb Identify CMS, Blogging Platform, Stats Packages & More WPScan WordPress Security/Vulnerability Scanner CMSmap Content Management System Security Scanner Droopescan Plugin Based CMS Security Scanner BlindElephant Web Application Fingerprinter Web-Sorrow v1.48 Version Detection, CMS Identification & Enumeration Wappalyzer Web Technology Identifier (Identify CMS, JavaScript etc.) Wig WebApp Information Gatherer Identify CMS

19 Google Dorks Remote Code Execution 30/09/2015 Wordpress Better-wp-security Plugin Remote Code Execution Dork: inurl:wp-content/plugins/better-wp-security

20 Google Dorks Cross Site Scripting 7/10/2015 CVE WordPress U-Design Theme Cross Site Scripting Dork: inurl:/wp-theme/u-design/

21 Google Dorks File Upload Vulnerability 6/11/2015 Wordpress Plugin easy-comment-uploads File Upload Vulnerability Dork: inurl:/wp-content/plugins/easy-comment-uploads/upload-form.php

22 Google Dorks Back-End WordPress Back-End Dork: inurl:.gov/wp-login.php inurl:.edu/wp-login.php inurl:.mil/wplogin.php inurl:.us/wp-login.php

23 Búsqueda de Exploits y Vulnerabilidades Inj3ct0r WPScan Vulnerability Database Exploit-db CVE-Details Security Focus WordPress Exploit Intelligente Exploit

24 Informados las 24H Cómo conseguirlo? Suscribirse a las Web específicas como para recibir correos con las últimas vulnerabilidades. Hacer seguimiento de cuentas en RRSS como por ejemplo el twitter Hacer uso de Google Alerts.

25 PREGUNTAS?

26 La Seguridad 100% no existe!!