نوشته‌ها

مجموعه ۴ مطلب – ۲۹

سلام بهروزم و با آخرین قسمت از مجموعه ۴ مطلب – شماره ۲۹ در سال ۱۳۹۹ خدمتتون هستم.

این هفته درگیری مشکلات زیادی بودم که دلیلش نزدیک شدن به عید هستش.

معمولا نزدیک عید که میشه مردم به این فکر میفتن که بهتره از فرصت تعطیلات استفاده کنند و مهارتی رو یاد بگیرن.

اینطوری میشه که ثبت نام دوره کلوپ امنیت ما هم بیشتر میشه.

البته می‌دونید که تا این لحظه که مطلب رو مینویسم هیچ‌وقت برای کلوپ تبلیغی نکردم.

معمولاً افراد یا از گوگل مارو پیدا می‌کنند یا از طریق سایت فرانش و یا از طریق معرفی دوستاشون.

ولی برای سال جدید برنامه زیاد دارم که بعدا کامل در موردش توضیح میدم.

 

بریم سراغ آخرین ۴ مطلب  سال ۱۳۹۹٫

۱- اول هفته جنجالی!

این هفته داستان عجیبی پیش اومد.

یکی از بچه‌هایی که تو زمینه هک فعالیت داره، مجموعه استوری از سایت‌های آموزشی گذاشت و اعلام کرد که این سایت‌ها باگ دارند ۸-O 

حالا این ادعا بر چه اساس بود؟براسا متد جدیدی که به واسطه اون میشه یوزرهای سایت‌های وردپرسی رو به دست آورد.

خب تا اینجا موردی نبود.

هرچند خب این که یوزر یه سایت رو به دست بیاریم به خودی خود خیلی خطرناک نیست ولی باز به هر صورت آسیب‌پذیریه.

نکته مهم اینجا بود که تو استوری نوشته بود افرادی که آموزش هک میدن خودشون باگ داشتن و اینا چرا و فلان و ….

اینجا بود که من با بررسی متوجه شدم اطلاعاتی که گذاشته فیکه 😐 

یعنی این روش وجود داره ولی من تو سایته خودم از قبل این آسیب‌پذیری رو بسته بودم.

اطلاعاتی که از یوزر من مشخص شده بود، این بود که یوزر من Admin هستش.

در حالی که یوزر من کلمه دیگه‌ایه.

یادم اومد که من تو تنظیمات اینطوری گذاشتم که ادمین نمایش بده تا افرادی که تازه وارد هستن سرگرم این یوزرنیم بشن 😆 

خلاصه این که به این بنده خدا پیام دادم و وقتی دید زود قضاوت کرده استوری عذرخواهی گذاشت.

حالا نکته جالب قضیه اینه، یه سری آدم جوگیر استوری این بنده خدارا استوری کرده بودن، بدون این که اصلا تست کنن یا بدونن چی به چیه؟

در نتیجه تک تک پیام دادم و اون‌ها هم استوری عذرخواهی گذاشتن 🙄 

درسته که من درگیر حاشیه نمیشم ولی باید متوجه میشدن که وقتی کسی چیزی رو استوری میکنه، بدون تحقیق که نباید همه استوری بزاریم.

امیدوارم این مورد فرهنگش جا بیفته، چون زیاد دیدم که یه نفر یه موردی رو اطلاع میده و اشتباهه و بقیه همون مطلب رو انتشار میدن. 🙁 

 

پ.ن : یعنی واقعا فکر کردن یوزرنیم من ادمینه؟؟؟ 😆 

 

مشکل بعدی که این هفته درگیرش بودم این بود که ۱ روز سرور سایت مشکل داشت که کلی درگیر درست کردنش بودیم.

مشکل آخرم این که اینستاگرام گیر داده بود به ما و یکی یکی پستا رو داشت پاک میکرد که با وجود این که خیلیا رو اوکی کردیم ۳ تاش پاک شد.

ولی دلیل نمیشه ناامید بشیم و فعالیت تو اینستاگرام رو ادامه ندیم 🙂 

 

۲- نکته ساده

نویسنده این مقاله میگه از هر ۱۰۰ تا سایتی که تست کنید ۷۰ مورد این مشکل رو دارند.

میگه گزارش کنید و هزینه بگیرید.

البته فکر کنم خبر نداره تو ایران برا این چیزا پول نمیدن و اصلا اینا رو باگ نمیدونن.

۳- باگ سایت بهروز منصوری 😆

آموزش هک و امنیت

بالاتر توضیح دادم که فکر میکردن سایت من باگ داره و جنجال و …

این مقاله رو بخونید متوجه میشید چی پیدا کرده بودن.

فقط مشکل اینجا بود که یوزر من که ادمین نیست.در نتیجه برای من این باگ نبود.

۴- بایپس OTP

بایپس otp

هرچند روشی که در این مقاله بیان شده تا حدودی بعید به نظر میرسه ولی از اونجایی که توی هک هرچیزی ممکنه به نظرم مطالعه کردنش خالی از لطف نیست.

باید یادم باشه این مورد رو روی چنتا سایت که otp دارن تست کنم ببینم نتیجه چطوری میشه. 😉 

آخر هفته خوبی داشته باشید 😉 

 

 

“مجموعه ۴ مطلب – ۲۹”

هک وردپرس با URL Injection

سلام خدمت شما

مدتی است که بسیاری از سایت‌های وردپرسی دچار مشکل مشابهی میشن که اینجا لازم دیدم توضیحی در مورد این مشکل و نحوه رفع اون برای دوستان عزیز قرار بدم.

اخیرا مدیران سایت‌های مختلف ایمیل میزنن و بیان می‌کنند که یکسری لینک چینی و ژاپنی در گوگل برای سایتشون ثبت شده و با این عنوان که سایتمون رو هک کردن ابراز نگرانی می‌کنند.

URL injection

این بدین معنی است که هکر در سایت شما صفحاتی ساخته که معمولا شامل کلمات و لینک‌های اسپم است. بعضی اوقات این صفحات جدید شامل کدهایی هستند که کارهای مخصوصی انجام می‌دهند. به عنوان مثال کاربران، سایت شما را به سایت‌های دیگر منتقل می‌کنند یا به وب سرور شما صدمه می‌زنند و اینجاست که می‌گوییم هک شدن وردپرس با URL injection اتفاق افتاده است.

هکرها معمولا این تغییرات را از راه‌های زیر انجام می‌دهند:

  • داشتن دسترسی به یکی از پوشه‌های موجود در سرور یا هاست؛ به عنوان مثال ممکن است به یکی از پوشه‌های هاست خود بصورت کاملا ناخواسته دسترسی کاربر را داده‌اید.
  • استفاده از نسخه‌های قدیمی وردپرس و سوء استفاده هکر از باگ‌های امنیتی موجود در این نسخه‌ها
  • هک کردن افزونه‌های third-party که در سایت خود نصب کرده‌اید؛ مثل افزونه‌های شمارش تعداد بازدید سایت.

چگونه متوجه وجود این اسپم شویم؟

با بررسی حساب Google Search Console این مورد مشخص می‌شود زیرا تعداد صفحات ایندکس شده به طور قابل توجهی افزایش میابد.

همچنین قسمت پیام‌های Search Console را نیز بررسی کردیم اما چیزی مشاهده نشد و عجیب به نظر می‌رسید. در این حالت مثلا باید پیام “سایت شما ممکن است هک شده باشد” را دریافت می‌کردیم.

روش دیگه جستجو در گوکل به صورت زیر است: 

site:yourwebsite.com

هک وردپرس با URL Injection

چگونه مشکل ساخت آدرس‌ های جعلی در وردپرس را حل کردیم؟

اولین کاری که باید انجام داد، حذف افزونه مخرب است که این لینک‌ها را ایجاد کرده بود. چندین افزونه هستند که اسپم‌ها را شناسایی و حذف می‌کنند؛ افزونه‌های محبوبی مثل WP Spam Shield، WordFence و Sucuri.

پاک کردن اسپم از ایندکس گوگل

روش اول : ممکن است شما هم به فکر استفاده از ابزار Remove URLs در Google Search Console باشید اما نه تنها حذف این لینک‌ها به اندازه ایندکس شدن آن‌ها زمان بر است، بلکه گوگل آن‌ها را به صورت موقتی پاک می‌کند (۹۰ روز). و تا این زمان هک شدن وردپرس با URL injection ادامه دارد. اما راه‌حل بعدی بهتر به نظر می‌رسد.

روش دوم :

  1. همه ی URL های اسپم را از نتایج گوگل دانلود کنید.
  • اگر نتیجه‌های اسپم زیادی دارید، می‌توانید افزونه گوگل کروم به نام Infinite Scroll add-on  را نصب کنید. این افزونه به شما اجازه می‌دهد تا با یک کلیک به صفحه آخر نتایج بروید تا بتوانید تمامی نتیجه‌های گوگل را مشاهده کنید.
  • می‌توانید از افزونه Link Klipper نیز برای دانلود نتایج سایت در گوگل استفاده کنید. قطعا این راه خیلی راحت تر از کپی کردن تک تک نتایج است.
  1. کلمه‌ای که در صفحات اسپم شده تکرار شده است را پیدا کنید و آن را جلوی site:yourwebsite.com قرار دهید و عبارت را در گوگل جستجو کنید. مثل عبارت site:yourwebsite.com dating
  2. به نتایج انتهایی بروید.
  3. هنگامی که تمامی نتیجه‌ها بارگذاری شدند، راست کلیک کنید و Link Klipper را انتخاب کنید و روی Extract all links کلیک کنید. در این حالت یک فایل اکسل ساخته می‌شود.
  4. فایل اکسل را باز کنید و نتایج را براساس a to z مرتب کنید. سپس آن لینک‌هایی که مربوط به سایت شما است و لینک سایت شما در آن قرار دارد را کپی کنید. لینک‌های دیگر را نادیده بگیرید.
  5. شما با کمک افزونه yoast seo نیز می‌توانید نقشه سایت خود را کامل بسازید.
  6. یک نام مشخص برای فایل XML خود بگذارید. حال فایل را در روت سایت خود (در پوشه public_html) آپلود کنید تا آدرس دسترسی به آن چیزی شبیه به website.com/sitemap-name.xml باشد.
  7. حال به Google Search Console بروید و از قسمت crawl و sitemaps، sitemap جدید را به گوگل معرفی کنید.
  8. صفحه را دوباره باز کنید؛ می‌بینید که وضعیت sitemap به حالت submitted در می‌آید.
  9. اگر بیش از ۱۰۰۰ آدرس‌ های جعلی در وردپرس دارید، بعید است که بتوانید همه آن‌ها را در یک اقدام دانلود کنید. پس مجبورید این مراحل را برای بقیه لینک‌ها در روز بعدی انجام دهید.
  • لینک‌های اسپم را از نتایج جستجوی گوگل دانلود کنید و هر بار آن را به همان فایل اکسل اول اضافه کنید.
  • هر بار که لینک جدید اضافه می‌کنید، روی دکمه Remove duplicates در اکسل کلیک کنید تا جایی که تعداد لینک‌ها با آدرس‌ های جعلی در وردپرس موجود در نتایج گوگل برابر شود.
  • فایل sitemap جدید را در گوگل دوباره ثبت کنید.
 
تست امنیت وردپرس با WPSeku

تست امنیت وردپرس با WPSeku

تست امنیت وردپرس با WPSeku

وردپرس یک سیستم مدیریت محتوا (CMS) آزاد و متن باز است که توسط میلیون ها نفر از سراسر جهان برای اجرای وبلاگ ها و وب سایت های کاملا کاربردی مورد استفاده قرار می گیرد. از آنجایی که این CMS بیشتر مورد استفاده قرار می گیرد، حفره‌های امنیتی بیشتری هم روزانه در مورد این سیستم مدیریت محتوا منتشر می‌شود.

با این حال، اگر ما از شیوه های بهترین شیوه ها امنیتی صحیح استفاده کنیم، این مشکلات امنیتی را می توان حل کرد. در این ویدئو ما به شما نحوه استفاده از WPSeku، اسکنر آسیب‌پذیری وردپرس در لینوکس را آموزش می‌دهیم که می تواند برای پیدا کردن حفره های امنیتی وردپرس جلوگیری از این تهدیدات بسیار موثر باشد.

WPSeku یک اسکنر آسیب پذیری وردپرس است که با استفاده از پایتون نوشته شده است، می توان از آن برای اسکن وردپرس جهت یافتن مشکلات امنیتی استفاده کرد.

کامندهای ابزار:

Usage: ./wpseku.py [--target|-t] http://localhost

-t --target Target URL (eg: http://localhost)
-x --xss Testing XSS vulns
-s --sql Testing SQL vulns
-l --lfi Testing LFI vulns
-q --query Testable parameters (eg: "id=1&test=1")
-b --brute Bruteforce login via xmlrpc
-u --user Set username, default=admin
-p --proxy Set proxy, (host:port)
-m --method Set method (GET/POST)
-c --cookie Set cookies
-w --wordlist Set wordlist
-a --agent Set user-agent
-r --redirect Redirect target url, default=True
-h --help Show this help and exit