Login
WordPress Plugin Activity Log 2.4.0 – Stored Cross Site Scripting

WordPress Plugin Activity Log 2.4.0 – Stored Cross Site Scripting

# Exploit Title : Activity Log WordPress Plugin Stored Cross Site Scripting (XSS)
# Date: 25-02-2018
# Exploit Author : Stefan Broeder
# Vendor Homepage: https://pojo.me
# Software Link: https://wordpress.org/plugins/aryo-activity-log/
# Version: 2.4.0
# CVE : CVE-2018-8729
# Category : webapps

Mô tả
===========
Activity Log là một plugin của WordPress thực hiện việc theo dõi hoạt động của trang web. Hiện có hơn 70.000 lượt cài đặt. Lỗi xảy ra với Phiên bản 2.4.0 (và có thể những phiên bản trước đó) bị ảnh hưởng bởi một số lỗ hổng được Stored XSS).
Read More »

Phát hiện lỗ hổng bỏ qua xác thực trong nền tảng dịch vụ Auth0

Phát hiện lỗ hổng bỏ qua xác thực trong nền tảng dịch vụ Auth0

Một lỗ hổng bỏ qua xác thực nghiêm trọng đã được tìm thấy trong nền tảng dịch vụ Auth0. Lỗ hổng này cho phép kẻ tấn công truy cập bất kỳ cổng hoặc ứng dụng nào đang sử dụng dịch vụ Auth0 để xác thực.

Auth0 cung cấp các giải pháp xác thực dựa trên token cho một số nền tảng bao gồm khả năng tích hợp xác thực truyền thông xã hội vào một ứng dụng.
Read More »

12 Dấu Hiệu Cho Thấy Website WordPress Của Bạn Đã Bị Hack

12 Dấu Hiệu Cho Thấy Website WordPress Của Bạn Đã Bị Hack

Trong thế giới internet nguy hiểm, việc bảo mật website / blog là chuyện vô cùng cần thiết. Có khi chỉ vì một phút chủ quan, lơ là, trang web của bạn sẽ không cánh mà bay, kéo theo đó là những thông tin quan trọng và nguồn khách hàng thân thiết.

Trong bài viết này, chúng tôi sẽ giúp bạn chỉ ra 12 dấu hiệu cho thấy website xây dựng trên nền tảng WordPress của bạn đang có nguy cơ bị kẻ xấu tấn công, hay còn gọi là bị hack.
Read More »

87 triệu người dùng Facebook bị lộ thông tin cá nhân

87 triệu người dùng Facebook bị lộ thông tin cá nhân

Giám đốc công nghệ Facebook công bố số người bị lộ thông tin cá nhân ở Mỹ cao hơn 37 triệu so với số công bố trước đó.
Trong bài blog đề cập những thay đổi của Facebook hôm qua về bảo vệ dữ liệu người dùng, Giám đốc công nghệ Facebook Mike Schroepfer thừa nhận lượng thông tin cá nhân bị rò rỉ đã tới con số 87 triệu chứ không dừng lại ở 50 triệu.
Read More »

Hacker nâng cao đặc quyền thông qua plugin cho text editor

Hacker nâng cao đặc quyền thông qua plugin cho text editor

Hầu hết các text editor (trình soạn thảo văn bản) hiện đại cho phép người dùng mở rộng chức năng của họ bằng cách sử dụng các plugin của bên thứ ba, theo cách này người dùng đang mở rộng bề mặt tấn công của họ. Bởi vì hacker có thể nâng cao đặc quyền thông qua plugin cho text editor.

Tuy nhiên, có một thực tế rằng sử dụng plugin cho text editor luôn tiềm tàng nguy cơ bị hack, cho dù đó là plugin WordPress hay phần mở rộng của Windows dành cho Chrome, Firefox hoặc Photoshop.
Read More »

2000 website bị nhiễm mã độc đánh cắp tài khoản người dùng

2000 website bị nhiễm mã độc đánh cắp tài khoản người dùng

Các nhà nghiên cứu vừa mới phát hiện ra một chiến dịch lây nhiễm mã độc vào các website sử dụng nền tảng WordPress với một loại mã độc có khả năng đào tiền ảo Coinhive và có thêm tính năng Key Logger, số lượng các website bị lây nhiễm đang lên đến 2000 website. Coinhive là một dịch vụ đang trở nên phổ biến, cho phép chủ website nhúng một mã JavaScript, lợi dụng sức mạnh CPU máy tính của khách truy cập website với mục đích đào tiền ảo Monero.

Các nhà nghiên cứu cho biết tác nhân đứng đằng sau chiến dịch mới này cũng là đối tượng đã lây nhiễm mã độc Cloudflare[.]solutions vào hơn 5400 website WordPress vào tháng trước do Sucuri cảnh báo.

Cloudflare[.]solutions là một loại mã độc đào tiền ảo không hề liên quan đến Cloudflare, mà do tin tặc sử dụng tên miền cloudflare[.]solutions để phát tán mã độc. Mã độc có tính năng key logger với khả năng đánh cắp dữ liệu, tài khoản quản trị của người dùng trên các trang đăng nhập và các giao diện web.
2000 website bị nhiễm mã độc có khả năng đánh cắp tài khoản người dùng
2000 website bị nhiễm mã độc có khả năng đánh cắp tài khoản người dùng

Mã độc có khả năng đánh cắp tài khoản quản trị

Nếu các trang WordPress bị lây nhiễm là trang thương mại điện tử thì chắc chắn tin tặc sẽ có được rất nhiều thông tin bao gồm cả thẻ thanh toán của người dùng. Nếu tin tặc đánh cắp được tài khoản của quản trị viên, chúng có thể toàn quyền kiểm soát website mà không cần thông qua bất kì lỗ hổng nào.

Tên miền cloudflare[.]solutions đã bị gỡ bỏ vào cuối tháng trước nhưng tin tặc đã đăng kí thêm nhiều tên miền mới để ẩn chứa mã độc bao gồm:

  • hxxps://cdjs[.]online/lib.js
  • hxxps://cdjs[.]online/lib.js?ver=…
  • hxxps://cdns[.]ws/lib/googleanalytics.js?ver=…
  • hxxps://msdns[.]online/lib/mnngldr.js?ver=…
  • hxxps://msdns[.]online/lib/klldr.js

Nếu bạn là nạn nhân, website bị nhiễm mã độc, hãy loại bỏ những đoạn code độc hại trong tệp tin functions.php trong thư mục theme và kiểm tra bảng wp_post trong cơ sở dữ liệu để phát hiện và loại bỏ các bất thường. Người dùng được khuyến cáo nên thay đổi toàn bộ mật khẩu của trang web và cập nhật phần mềm bao gồm các ứng dụng và theme do các bên thứ ba cung cấp.

Top 5 công cụ quét lỗ hổng bảo mật ứng dụng web

Top 5 công cụ quét lỗ hổng bảo mật ứng dụng web

Ứng dụng web không chỉ đóng một vai trò quan trọng trong tổ chức và mà còn là cửa ngõ dẫn đến các thông tin quan trọng của tổ chức đó. Tuy nhiên, hacker luôn lên kế hoạch xâm nhập vào dữ liệu và ứng dụng của doanh nghiệp để ăn cắp những thông tin bí mật và quan trọng. Do đó, các tổ chức cần có một công cụ quét lỗ hổng bảo mật ứng dụng web để ngăn chặn hacker truy cập trái phép vào thông tin và dữ liệu của công ty.

Một công cụ quét lỗ hổng bảo mật thông thường sẽ kết nối với ứng dụng web thông qua giao diện web để có thể tìm ra các lỗ hổng tiềm tàng và những điểm yếu về cấu tạo của web. Công cụ này sẽ không truy cập vào mã nguồn mà chỉ thực hiện kiểm tra chức năng để tìm ra các lỗ hổng bảo mật.

Hiện nay trên thị trường có rất nhiều công cụ quét lỗ hổng bảo mật ứng dụng web, có thể miễn phí hoặc cần trả phí mới sử dụng được. Dưới đây, chúng tôi sẽ liệt kê một số công cụ quét lỗ hổng bảo mật ứng dụng web hàng đầu có thể giúp bạn đánh giá ứng dụng web để loại bỏ các rủi ro về bảo mật.

CyStack

CyStack là một nền tảng nền tảng an ninh mạng hoạt động theo mô hình Software as a Service. Dịch vụ an ninh mạng này hoạt động dựa trên nền tảng công nghệ Cloud Computing. Bảo vệ toàn diện web của bạn thông qua phân tích lỗ hổng, giám sát an ninh liên tục và truy tìm mã độc.

Phân tích lỗ hổng giúp sớm tìm ra các lỗ hổng an ninh, từ đó đưa ra bản vá phù hợp để bảo vệ website của bạn trước hacker. CyStack Platform cung cấp giải pháp pentest tự động với khả năng:

  • Phát hiện hơn 200 lỗ hổng web nguy hiểm, bao gồm OWASP Top 10
  • Liên tục cập nhật mẫu nhận diện lỗ hổng theo các nghiên cứu mới
  • Lập lịch quét định kỳ và theo các mốc thời gian xác định

Hệ thống giám sát an ninh của CyStack Platform cho phép bạn biết tình trạng hoạt động của website, được cảnh báo sớm các dấu hiệu bất thường và bảo vệ website an toàn mà người dùng không cần quan tâm nhiều đến các yếu tố kỹ thuật.

Trong trường hợp website của bạn bị tin tặc tấn công và để lại mã độc, CyStack sẽ giúp bạn tìm ra chúng một cách đơn giản và tự động, thay vì phải rà soát từng file trong mã nguồn.

Chức năng:

  • Scanning: dò quét, phát hiện và cảnh báo sớm lỗ hổng định kỳ.
  • Monitoring: giám sát, cảnh báo sớm các sự cố 24/7.
  • Responding: dò quét, làm sạch mã độc.
  • Protecting: hệ thống tường lửa bảo vệ website trước mã độc và tấn công từ tin tặc

Sắp tới CyStack dự định sẽ cung cấp API đầy đủ cho các nhu cầu cao hơn của developer. Điều này có nghĩa là bạn có thể tự xây dựng một công cụ an ninh mạng trên nền tảng và hạ tầng của Cystack, việc tích hợp vào các hệ thống có sẵn trở nên dễ dàng hơn bao giờ.

CyStack - Công cụ phát hiện lỗ hổng bảo mật ứng dụng web
CyStack – Bảo vệ website toàn diện

Burp Suite

Burp Suite là một bộ công cụ quét lỗ hổng bảo mật cho ứng dụng web. Người dùng có thể trải nghiệm phiên bản miễn phí với các tính năng giới hạn hoặc trả phí để sử dụng phiên bản thương mại với các tính năng tối đa. Burp Suite là một nền tảng tích hợp cho việc kiểm tra an ninh các ứng dụng web. Các công cụ đa dạng làm việc hoàn hảo với nhau để hỗ trợ toàn bộ quá trình thử nghiệm, từ lập bản đồ ban đầu đến việc tìm kiếm và khai thác lỗ hổng bảo mật.

Chức năng:

  • Intercepting proxy: cho phép bạn kiểm tra và sửa đổi lưu lượng truy cập giữa trình duyệt của bạn và ứng dụng mục tiêu.
  • Application-aware spider: thu thập dữ liệu nội dung và chức năng.
  • Advanced web application scanner: tự động phát hiện nhiều loại lỗ hổng.
  • Intruder tool (Công cụ đột nhập): thực hiện các cuộc tấn công tùy chỉnh để tìm và khai thác lỗ hổng bất thường.
  • Repeater tool (Công cụ lặp lại): thao tác và gửi lại các yêu cầu riêng lẻ.
  • Sequencer tool (Công cụ tuần tự): kiểm tra tính ngẫu nhiên của các mã số.
  • Khả năng sao lưu lại công việc.
  • Khả năng mở rộng cho phép bạn dễ dàng viết các plugin riêng để thực hiện các tác vụ phức tạp và được tùy biến cao trong Burp.

Netsparker

Được thiết kể để hỗ trợ cho cả việc phát hiện và khai thác các lỗ hổng, mục tiêu Netsparker hướng tới là cho người dùng một kết quả chính xác nhất. Để đảm bảo tính xác thực của kết quả, thì công cụ này chỉ báo cáo về các lỗ hổng đã xác định được sau khi khai thác thành công hoặc thử nghiệm chúng. Netsparker sẽ phát hiện và báo cáo về các lỗ hổng như SQL Injection và Cross-site Scripting (XSS) trong tất cả các loại ứng dụng web, dựa trên bất kể nền tảng và công nghệ nào mà web được xây dựng.

Phiên bản Netsparker community được cung cấp miễn phí cho nền tảng Windows; nó có thể chạy trên Windows XP, 7, Vista, 2003 và 2008. Bạn không cần bất kỳ chuyên gia bảo mật nào đào tạo, hay một hướng dẫn sử dụng dài dòng để hiểu. Bạn có thể bắt đầu dùng Netsparker luôn vì nó là GUI và dễ sử dụng.

Arachni

Arachni là một Ruby framework với đầy đủ tính năng, modular và hiệu suất cao nhằm mục đích giúp các nhà kiểm tra và quản trị viên thâm nhập đánh giá tính bảo mật của ứng dụng web. Arachni thể hiện sự thông minh qua việc có thể tự đào tạo bản thân bằng cách kiểm tra và học hỏi từ các hành động của ứng dụng web trong quá trình scan. Không chỉ vậy Arachni còn thực hiện phân tích meta bằng một số yếu tố để đánh giá độ tin cậy của kết quả tìm được để tránh cho ra các kết quả sai.

Chức năng

  • Hỗ trợ Cookie-jar / cookie-string.
  • Hỗ trợ tiêu đề tùy chỉnh.
  • Hỗ trợ SSL với các tùy chọn fine-grained.
  • User Agent spoofing.
  • Hỗ trợ proxy cho SOCKS4, SOCKS4A, SOCKS5, HTTP / 1.1 và HTTP / 1.0.
  • Xác thực proxy.
  • Xác thực trang web (SSL-based, form-based, Cookie-Jar, Basic-Digest, NTLMv1, Kerberos…
  • Tự động đăng xuất và đăng nhập lại trong quá trình quét (khi đăng nhập ban đầu được thực hiện thông qua đăng nhập tự động, đăng nhập-script hoặc proxy plug-in).
  • Tính năng tùy chỉnh 404-page.
  • UI abstraction: Giao diện dòng lệnh/Giao diện người dùng web.
  • Chức năng tạm dừng/tiếp tục.
  • Hỗ trợ Hibernation – Tạm ngưng và khôi phục lại từ đĩa.
  • Các yêu cầu HTTP không đồng bộ hiệu suất cao: Điều chỉnh concurrency/Khả năng tự động phát hiện tình trạng của máy chủ và điều chỉnh tự động concurrency của nó.
  • Hỗ trợ các giá trị input mặc định tùy chỉnh, sử dụng cặp mẫu (khớp với tên input) và các giá trị input phù hợp.

W3af

W3af (Web Application Attack and Audit Framework) là một web scanner mã nguồn mở, cung cấp thông tin về các lỗ hổng bảo mật và hỗ trợ trong các nỗ lực kiểm tra thâm nhập. Web scanner này cung cấp một công cụ quét và khai thác lỗ hổng cho các ứng dụng web. W3af được viết bằng ngôn ngữ Python và có sẵn cho nhiều hệ điều hành phổ biến khác như Microsoft Windows, Linux, Mac OS X, FreeBSD và OpenBSD.

W3af được chia thành hai phần chính, đó là core, và các plug-in. Scanner xác định hầu hết các lỗ hổng trong ứng dụng web bằng cách sử dụng hơn 130 plug-in. Phần core kết hợp với các quy trình và đưa ra các tính năng dựa trên plug-in, để từ đó tìm ra các lỗ hổng và khai thác chúng. Các Plug-in kết nối và chia sẻ thông tin với nhau bằng cách sử dụng một cơ sở tri thức.

Đây chỉ là một danh sách ngắn về các công cụ quét lỗ hổng bảo mật tốt nhất mà bạn có thể sử dụng để đánh giá ứng dụng web đối với các lỗ hổng bảo mật. Tuy nhiên, có rất nhiều công cụ khác nữa, và việc sử dụng công cụ quét lỗ hổng bảo mật nào là phụ thuộc vào bản chất của ứng dụng web. Hơn nữa, việc sử dụng web scanner để đánh giá ứng dụng web là điều cần thiết, khi mà hiện nay các chiêu trò và kĩ thuật của hacker ngày càng trở nên khốn khéo và khó nắm bắt hơn.

Nguồn: cystack.net

Những điều cần biết về lỗ hổng và cuộc tấn công Zero-Day

Những điều cần biết về lỗ hổng và cuộc tấn công Zero-Day

Trong khoa học máy tính, một lỗ hổng được coi là lỗ hổng Zero-Day nếu nó không được biết đến đối với tất cả các bên muốn vá nó, chẳng hạn như:

  • Nhóm duy trì dự án
  • Những người sử dụng dự án
  • Các nhà nghiên cứu lỗ hổng

Các nhà nghiên cứu lỗ hổng là những người tốt – họ sẽ không lợi dụng các lỗ hổng vì lợi ích riêng của mình và sẽ thực hiện việc tiết lộ có trách nhiệm.

Hãy minh họa khái niệm này bằng một ví dụ nhỏ.

Ví dụ về lỗ hổng Zero-Day

Giả sử tôi là người duy trì duy nhất của plugin WordPress premium với một cơ sở người dùng nhỏ và gần đây tôi đã triển khai bản cập nhật có chứa lỗ hổng cho tất cả người dùng plugin của tôi.

Trong ví dụ này, tôi không có các kiểm toán viên mã như các nhà phát triển khác, điều này thực sự tồi tệ và khiến cho lỗ hổng không bị phát hiện bởi các bài kiểm tra thủ công hoặc tự động. Để bổ sung cho kịch bản xấu này, không một người dùng plugin nào của tôi có đủ sự quan tâm để kiểm tra mã mới. Vì vậy, lỗ hổng này chỉ là ở đó, không được chú ý.

Đây có phải là lỗ hổng Zero-Day? Đúng, nó chính là lỗ hổng Zero-Day.

Nếu một kẻ tấn công học về lỗ hổng này, nó sẽ không thay đổi bất cứ điều gì vì kẻ tấn công sẽ không quan tâm đến việc vá lỗi; tuy nhiên, họ sẽ quan tâm đến việc khai thác nó.

Sự việc này trong kịch bản giả thuyết của chúng tôi thực sự phổ biến trong cuộc sống thực và giúp chúng tôi thấy rõ những nguy cơ rất lớn về lỗ hổng Zero-Day đối với trang web của chúng tôi.

Cuộc tấn công Zero-Day

Như trong ví dụ cuối cùng của chúng tôi, khi các kẻ xấu tìm hiểu về một lỗ hổng bảo mật trước khi những người bảo vệ dự án, người sử dụng và các nhà nghiên cứu lỗ hổng phát hiện, thì mọi thứ có thể trở nên tồi tệ rất nhanh.

Những kẻ tấn công yêu thích các lỗ hổng Zero-Day bởi vì không có miếng vá bảo mật để ngăn chặn chúng, và điều duy nhất hạn chế họ là mức độ khai thác mà lỗ hổng cho phép. Một số lỗ hổng đòi hỏi một số lượng đặc quyền nhất định để được khai thác – nhưng một lần nữa, điều này phụ thuộc vào các lỗ hổng.

Tin tặc thực sự chủ động khi thử nghiệm xem một trang web có lỗ hổng hay không thông qua việc sử dụng các vectơ tấn công cụ thể. Nếu điều này chưa đủ, tin tặc cũng hay sử dụng sự tự động hoá, bởi nó cho phép họ quét Internet để tìm kiếm các trang web phù hợp với những lỗ hổng và điều kiện cụ thể.

Các cuộc tấn công Zero-Day phụ thuộc vào điều gì?

Cuộc tấn công zero-day có thể gây ảnh hưởng đến sự hiện diện trực tuyến của bạn theo các cách khác nhau. Những ảnh hưởng này bao gồm doanh thu bị mất, vi phạm tuân thủ, lãng phí thời gian và thiệt hại cho danh tiếng thương hiệu của bạn.

Các cuộc tấn công Zero-Day phụ thuộc vào một số yếu tố quan trọng:

  • Sự chủ động về an ninh của người duy trì dự án.
  • Sự phản ứng nhanh của người duy trì dự án nếu có sự cố xảy ra.
  • Sự chủ động về bảo mật cho cộng đồng sử dụng dự án (CMS, plugin, v.v.).
  • Sự phản ứng nhanh của cộng đồng sử dụng dự án nếu có sự cố xảy ra.

Sự lặp lại ở đây là cố ý. Cả nhà phát triển lẫn chủ trang web nên chủ động bảo vệ trang web của họ và có thể phản ứng nhanh chóng trong trường hợp gặp sự cố. Điều này có nghĩa là theo dõi các dấu hiệu của một vấn đề và thực hiện các biện pháp để ngăn chặn sự khai thác Zero-Day nếu không có miếng vá bảo mật cho các lỗ hổng.

Nếu những bên quan tâm – những người phát triển và người sử dụng – không đáp ứng được thách thức về an ninh cho website một cách chủ động, thì điều duy nhất còn lại để đánh giá các tác động của lỗ hổng Zero-Day là biết được số lượng các hệ thống bị ảnh hưởng. Tự động hóa giúp hacker dễ dàng sử dụng các lỗ hổng Zero-Day nhanh chóng.

Ai nên quan tâm đến các cuộc tấn công Zero-Day ?

Các nhà phát triển cần phải có các quy trình để tránh những lỗ hổng. Các quy trình này có thể bao gồm:

  • Kiểm toán viên mã
  • Chương trình bug bounty
  • Kiểm tra thủ công
  • Kiểm tra tự động
  • Cảnh báo bảo mật

Kiểm tra bộ nhớ nội dung web

Tôi muốn bạn làm bài tập sau đây.

Cố gắng nhớ tất cả các phần mềm mà bạn đã cài đặt trên máy chủ web, bao gồm CMS trang web của bạn đang chạy và tất cả các plugin, các tập lệnh, và các tiện ích mà bạn đã thêm vào nó.
Những điều cần biết về lỗ hổng và cuộc tấn công Zero-Day
Các plugin, các tập lệnh, và các tiện ích
Bạn có thể nhớ tất cả? Nếu có thể, xin chúc mừng!

Bạn đã có một kế hoạch?

Bây giờ, hãy tưởng tượng rằng có một lỗ hổng Zero-Day trong những thành phần đó và tự hỏi những câu hỏi sau:

  • Tôi có một giải pháp bảo mật tại chỗ có thể giúp tôi giảm nhẹ rủi ro cho đến khi có bản sửa lỗi không?
  • Tôi có một kế hoạch trong trường hợp trang web của tôi bị xâm nhập?

Nếu câu trả lời cho những câu hỏi là không, thì bạn nên hy vọng kẻ tấn công không tìm thấy lỗ hổng bảo mật trong trang web của bạn.

Một trang web không có sự bảo vệ phải dựa vào các nhà phát triển để chắc chắn rằng không có lỗ hổng bảo mật trong mã của họ.

Làm thế nào để bảo vệ và phục hồi website của bạn từ cuộc tấn công Zero-Day?

Chúng tôi có thể đưa cho bạn rất nhiều lời khuyên về cách giữ cho tất cả phần mềm của bạn được cập nhật, chỉ cần cài đặt những gì cần thiết vì mọi mẩu mã được thêm vào hệ thống của bạn đều có tiềm năng gây nguy hiểm, hoặc làm thế nào để giữ cho tập tin thực sự chặt chẽ trên máy chủ web của bạn và những người khác.

Sự thật là các phương pháp bảo mật tốt nhất nên được bổ sung với các điều khiển bảo mật khác để giảm bề mặt tấn công hoặc thậm chí nhiều hơn!

Hãy nhớ rằng khôi phục lại website của bạn khỏi việc bị hack là dễ dàng khi bạn có một nhóm bảo vệ chuyên dụng mà bạn có thể tin cậy. Tuy nhiên, nếu bạn không có một kế hoạch nào cả, thì có thể rất khó để giải quyết một vi phạm an ninh.

Translate »