مقابلة مع رايان ديوهورست ، مؤسس WPScan

Ryan Dewhurst هو مخترق أخلاقي واختراق كرّس سنوات عديدة لمساعدة الأشخاص في مجتمع WordPress على تحسين الوضع الأمني ​​لمواقعهم على الويب وحمايتهم من المهاجمين الخبيثين.

رايان هو مؤسس WPScan ، وهو ماسح ضوئي مجاني للأمان في WordPress ، تم تصميمه لمحترفي الأمان ومديري المدونات لاختبار أمان مواقعهم. تستخدم أداة WPScan CLI حاليًا قاعدة بيانات بها 21،875 نقطة ضعف في WordPress.

1. بالنسبة لأولئك الذين لا يعرفونك ، أخبرنا بما تفعله وقليلًا عن ماضيك وبيانات اعتمادك.

لطالما كنت مهتمًا بأجهزة الكمبيوتر والإنترنت. اعتدت الذهاب إلى منزل الجيران ، الشخص الوحيد الذي كنت أعرفه يمتلك جهاز كمبيوتر في ذلك الوقت ، لألعب لعبة سوليتير على جهاز Windows 95 الخاص به. لم يكن لديه حتى إمكانية الوصول إلى الإنترنت ، لكنني كنت سعيدًا فقط بالتفاعل مع الكمبيوتر.

في وقت لاحق ، في سن المراهقة ، أقنعت والدتي بشراء جهاز الكمبيوتر الخاص بي ، وهذه المرة ، مع إمكانية الوصول إلى الإنترنت! لقد أذهلتني القدرة على التفاعل مع أشخاص من جميع أنحاء العالم. كانت ياهو كبيرة في ذلك الوقت ، ولديهم خدمة تسمى ياهو! الدردشة ، وفي تلك الخدمة كان لديهم غرفة دردشة تسمى "صالة القراصنة". لقد أمضيت ليالٍ بعد ليالٍ في غرفة الدردشة تلك في محاولة لمعرفة ما كان يتحدث عنه الجميع ، وأحصنة طروادة ، و RATs ، و DoS ، والبرمجة العامة ، وما إلى ذلك.

في وقت لاحق من حياتي ، رأيت أن الجامعة المحلية ستبدأ في تدريس درجة جامعية في القرصنة الأخلاقية لأمن الكمبيوتر. كنت قد تركت المدرسة عندما كان عمري 15 عامًا لبدء العمل ، لذلك لم أكن أمتلك أي مؤهلات على الإطلاق. كانت متطلبات الدورة على الأقل ثلاثة مؤهلات ، بما في ذلك مستوى GCSE الرياضيات واللغة الإنجليزية ، وهو ما لم يكن لدي. لذلك تركت وظيفتي منخفضة الأجر على الفور ووضعت نفسي في دورة جامعية سريعة المسار ، والتي كانت مجانية لأنني لم أكن أكسب الكثير من المال ، للحصول على المؤهلات المطلوبة. حتى مع المؤهلات ، تم رفضي في البداية من الانضمام إلى الدورة ، لكنني تمكنت من العثور على عنوان البريد الإلكتروني للمعلم وكتابة قصة طويلة له حول شعوري بأن هذه الدورة هي الشيء الوحيد الذي أردت القيام به في الحياة. وأخيراً ، تم قبولي في الدورة! بعد أربع سنوات ، أكملت الدورة بمرتبة الشرف الأولى.

بعد ذلك ، حصلت على وظيفة في شركة اختبار مخترقة كمهندس أمان لتطبيقات الويب ، حيث عملت في اختبار العديد من أفضل الشركات في المملكة المتحدة بحثًا عن مشكلات أمنية. تركت هذه الوظيفة لبدء شركة اختبار الاختراق الخاصة بي ، وفي النهاية WPScan ، حيث أنا الآن.

2. لقد كنت نشطًا في صناعة أمان تطبيقات الويب لسنوات. ما الذي جعلك مهتمًا على وجه التحديد بـ WordPress؟

بدأت في التدوين حول تجاربي والأشياء التي تعلمتها عن الأمان وصدف أن أستخدم WordPress كاختياري لمنصة التدوين. ذات يوم ، صادفت ثغرة أمنية نشرها شخص آخر والتي أثرت على WordPress. أثناء عملي في مجال الأمان وكنت أستخدم WordPress بنفسي ، كتبت ثغرة للثغرة الأمنية لاختبارها على موقع الويب الخاص بي. ثم بدأت بعد ذلك في اكتشاف نقاط ضعف أمنية أخرى أثرت على WordPress ، وفي النهاية وضعت كل هذه المعرفة في أداة أطلق عليها اسم WPScan.

3. يبحث العديد من محترفي أمان تطبيقات الويب عن WordPress. لقد تحدثت إلى العديد ممن قالوا إنهم لن يستخدموا WordPress أبدًا ، أو أن الطريقة التي يعمل بها معيبة (على سبيل المثال ، يتمتع المكون الإضافي بإمكانية الوصول الكامل إلى جميع الخطافات وما إلى ذلك). ما هي أفكارك حول ذلك؟

نظرًا لاستخدام WordPress على نطاق واسع على الويب ، فهو هدف مثير للمهاجمين. أدى هذا إلى قيام الكثير من الباحثين الأمنيين والمتسللين ذوي القبعة السوداء بدراسة WordPress عندما كان لا يزال في مهده. نظرًا لأن WordPress لم يكن ناضجًا كما هو الحال اليوم ، فقد تم العثور على الكثير من مشكلات الأمان. ولكن اليوم ، نسبيًا ، يعد WordPress core نظامًا آمنًا لإدارة المحتوى (CMS). تكمن المشكلة في الوقت الحاضر في المكونات الإضافية لجهات خارجية. يوجد الكثير منهم فقط ، وهو ما يجذب المستخدمين في المقام الأول ، ولكن كل مكون إضافي تقوم بتثبيته يقدم أيضًا مخاطر إضافية على موقع الويب الخاص بك.

لكن هذا يتحسن أيضًا ، مع إنشاء شركات مبتكرة للتعامل مع هذه المشكلة ، من تجربتي ، بمرور الوقت ، نرى أن مكونات WordPress الإضافية أصبحت أكثر أمانًا. ببساطة بسبب مستوى البحث والشركات المكرسة لهذا المجال الآن.

4. فيما يتعلق بـ WPScan ، هناك ماسح ضوئي مفتوح المصدر ، والمكوِّن الإضافي ، وقاعدة بيانات الثغرات الأمنية ، وما إلى ذلك. هل يمكنك من فضلك توضيح كيفية ارتباط هذه المشاريع معًا ، وأيها يجب على المستخدمين استخدامه ولماذا؟

قاعدة بيانات الثغرات الأمنية WPScan WordPress هي ما يجمع جميع خدماتنا معًا. تعتمد جميع منتجاتنا وخدماتنا الأخرى على قاعدة البيانات ، فهم عملاء يستهلكون البيانات ويقدمونها بطريقة مفيدة لمستخدمينا.

كانت أداة WPScan CLI هي أول منتج لنا ، وهي مجانية للاستخدام للمستخدمين غير التجاريين ، فهي تقوم بمسح موقع WordPress من منظور خارجي لإعطاء وجهة نظر المتسلل لموقع WordPress الخاص بك. لكن هذه الأداة تتطلب أن يكون المستخدمون على دراية باستخدام سطر أوامر وقد لا تكون سهلة التثبيت في بعض الأحيان ، اعتمادًا على المستوى الفني للمستخدم. تم تصميم هذه الأداة حقًا لمختبري الاختراق والمطورين.

أحدث إضافة إلى مجموعة منتجاتنا هي المكون الإضافي الأمني ​​WPScan WordPress ، وهو مصمم بشكل أكبر لمستخدم WordPress اليومي. ما عليك سوى تثبيت المكون الإضافي من مستودع WordPress الرسمي ، وتهيئة الرمز المميز لواجهة برمجة التطبيقات ، والبدء في إجراء عمليات الفحص والبدء في تلقي إشعارات الأمان. تتمثل فكرة المكون الإضافي في إطلاعك على مشكلات الأمان قبل أن تتاح الفرصة للمتسلل لاستغلالها.

5. ما الذي يتطلبه الاحتفاظ بقاعدة بيانات من مكونات WordPress الإضافية والسمات ونقاط الضعف الأساسية؟ كيف تعرف الأمور الجديدة وكيف يتم الحفاظ عليها؟

وسيتطلب الأمر الكثير من العمل. كل ثغرة نقوم بإدخالها في قاعدة البيانات الخاصة بنا يتم إجراؤها بواسطة أحد مهندسي الأمن الخبراء لدينا في WordPress ، لذلك يمكنك الحصول على درجة عالية من الثقة في أنها في الواقع ثغرة أمنية حقيقية وليست إيجابية خاطئة.

نجد نقاط الضعف من مجموعة واسعة من المصادر. لدينا مجموعة من الباحثين المستقلين في مجال الأمن الصلب الذين يجدون ثغرات في WordPress أو المكونات الإضافية أو السمات ، ويرسلونها إلينا مباشرة. نحن أيضًا نراقب باستمرار وسائل التواصل الاجتماعي والمنتديات والمدونات ومواقع الويب ومحركات البحث بحثًا عن كلمات رئيسية معينة قد تكون شخصًا يتحدث عن ثغرة أمنية في WordPress.

كما نقوم أحيانًا بإجراء بحث أمني مستقل بأنفسنا. على سبيل المثال ، اكتشف أحد أعضاء فريقنا مؤخرًا ثغرة أمنية في التزوير عبر الموقع (CSRF) في نواة WordPress ، والتي تم تصحيحها منذ ذلك الحين. لدينا أيضًا عددًا من مواضع الجذب على هجمات مراقبة الويب ، مما أدى بنا إلى اكتشاف ثغرات أمنية لمدة يوم واحد.

6. هل يمكنك أن تشرح لقرائنا ما هي عملية التحقق من الثغرة قبل نشرها؟ أو هل هناك أي عملية تتبعها للتأكد من صحة البيانات المبلغ عنها؟

من الواضح في معظم الأوقات ما إذا كان تقرير الثغرة خاطئًا أم لا. يمكن لفريق الخبراء لدينا عادةً معرفة ما إذا كان الأمر صحيحًا من الناحية الفنية أم لا بمجرد قراءة النص الإرشادي. في أحيان أخرى ، ليس الأمر بهذه السهولة ، وعلينا أن نتحقق يدويًا من الثغرة الأمنية بأنفسنا عن طريق تثبيت الإصدار الضعيف ومحاولة استغلاله.

الشيء الذي يستغرق وقتًا طويلاً بالنسبة لنا هو فرز نقاط الضعف. لا نريد الإفصاح عن معلومات حول نقاط الضعف إذا كانت ستساعد المهاجمين فقط. نريد التأكد من أن بائع المكون الإضافي على دراية بالثغرة الأمنية ودفع التصحيح قبل أن نضيف التفاصيل إلى قاعدة البيانات الخاصة بنا. ولكن ، هذا ليس هو الحال دائمًا ، لأن بعض البائعين إما لا يمكن الاتصال بهم أو لا يهتمون. في هذه الحالة ، نعمل عن كثب مع فريق البرنامج المساعد WordPress لتوعيتهم بالثغرة الأمنية حتى يتمكنوا من اتخاذ إجراءات لحماية مستخدمي WordPress.

للتأكد من شفافية هذه العملية ، لدينا أيضًا سياسة إفشاء عامة توضح كيفية معالجتنا لبيانات الثغرات الأمنية التي نتلقاها.

7. بناءً على ما رأيته حتى الآن في قاعدة بيانات نقاط الضعف الخاصة بـ WP ومشروع WPScan ، ما هي أفكارك حول مستقبل أمان WordPress والترميز الآمن (في المكونات الإضافية والسمات) وما إلى ذلك؟

أنا متفائل وأعتقد أن الأمور تتحسن. هناك الكثير من التركيز على أمان WordPress في الوقت الحاضر ، وهناك الكثير من الحلول المتاحة. لا أعتقد أننا سنصل أبدًا إلى نقطة تكون فيها نواة WordPress وجميع المكونات الإضافية وجميع السمات آمنة بنسبة 100٪ ، لكنني أعتقد أنه يمكننا الوصول إلى نقطة تكون فيها معظم المكونات الإضافية ذات قاعدة تثبيت كبيرة آمنة بدرجة كافية . علينا فقط أن نستمر في تقطيعه.

8. لديك أيضًا خلفية في التطوير. ما هي أهم ثلاث نصائح لك لمطوّري الإضافات والقوالب في WordPress؟

1. التحقق من صحة إدخال المستخدم وترميز إخراج المستخدم. على سبيل المثال ، استخدم esc_html () و esc_attr () و esc_url () في WordPress ، وتعمل بشكل كامل وفي الأماكن الصحيحة.
2. استخدم دائمًا وظيفة تحضير () عند إنشاء استعلامات SQL.
3. تحقق دائمًا من قدرات المستخدم قبل تشغيل الوظائف الخطرة.

9. برأيك ، ما هي أهم ثلاثة أشياء ، أو أفضل ممارسات الأمان التي يجب على مسؤول موقع WordPress القيام بها لتأمين الموقع والحفاظ عليه آمنًا؟

1. حافظ على تحديث إصدار WordPress والإضافات والسمات.
2. قم بتثبيت مكون إضافي للأمان. هناك الكثير من الأشياء الجيدة هناك ، اختر واحدة واستخدمها.
3. استخدم كلمات مرور آمنة. تأكد من أن كلمة مرورك فريدة ومعقدة. يمكن تحقيق ذلك باستخدام مدير كلمات المرور على سبيل المثال.

10. لديك تاريخ طويل في صناعة أمان تطبيقات الويب. تعرفت عليك منذ بضع سنوات من خلال DVWA. هل يمكنك أن تشرح لقرائنا ما هو DVWA ، ولماذا قمت بتطويره؟

كان تطبيق Damn Vulnerable Web App (DVWA) مشروعًا مفتوح المصدر قمت بإنشائه أثناء دراستي في الجامعة للمساعدة في تعليم نفسي عن أمان تطبيقات الويب. اعتقدت أن أفضل طريقة للتعلم هي الحصول على أمثلة حقيقية قابلة للاستغلال لاستخدامها. لقد قمت بإصداره لاحقًا عبر الإنترنت بعد الكثير من المساعدة من الآخرين وأصبح شائعًا للغاية. اليوم يديره صديق قديم لي روبن وود ( digininja ). لذلك إذا كانت لديك أية مشكلات في تثبيته ، فأنا متأكد من أنه سيسعده تقديم المساعدة.

11. أي نصائح و / أو موارد يمكنك مشاركتها مع من يحبونك ، هل ترغب في معرفة المزيد عن WordPress وأمن التطبيقات؟

Twitter هو أحد أفضل الموارد في رأيي. تابع بعض الأشخاص الذين يعيشون ويتنفسون تلك الموضوعات وتعلم منهم. بعض الأشخاص الذين أوصي بمتابعتهم هم tnash و Random_Robbie و Viss وهناك الكثير من الأشخاص الآخرين لذكرهم. هناك أيضًا مجموعة أمان رائعة على Facebook WordPress نشطة للغاية. إذا كنت ترغب في التعمق في أمان تطبيق الويب ، فإنني أوصي بكتيب Web Application Hacker Handbook.

12. كيف يبدو مستقبل مشروع WPScan؟ ما هي الخطط؟

لقد قمنا مؤخرًا بإعادة تصميم موقع قاعدة بيانات الثغرات الأمنية بالكامل وبذل الكثير من الجهد في الواجهة الخلفية لذلك لإدارة الثغرات الأمنية. أداة WPScan CLI الخاصة بنا مستقرة للغاية ، وهي موجودة منذ عام 2011 ، لذا فهي بحاجة إلى القليل من التحسين في الوقت الحاضر. تتمثل الخطة في مواصلة استثمار الوقت في البحث عن مشكلات الأمان في WordPress ومكوناته الإضافية وموضوعاته ، حتى نتمكن من ضمان تحديث قاعدة بيانات الثغرات الأمنية ودقتها دائمًا. نرغب أيضًا في بذل الكثير من الجهد في مكون الأمان الإضافي WordPress الخاص بنا للمضي قدمًا ، ونعتقد أن هذا سيساعدنا في أن نصبح أكثر شهرة في نظام WordPress البيئي.

13. للمساعدة في إلهام الآخرين ، هل يمكنك من فضلك إخبارنا بالمزيد عن رحلتك ، والمزيد عن المزالق التي واجهتها خلال حياتك المهنية وما الذي ساعدك على المضي قدمًا وتحقيق النجاح الحالي؟

لقد تحدثت قليلاً عن هذا في مقدمتي ولكن هنا سأتحدث عن عيوب في محاولتي العمل لدى بعض شركات التكنولوجيا الكبيرة. بعد الجامعة ، كنت أرغب في العمل في شركة تقنية كبيرة ، واعتقدت أن هذا من شأنه أن يمنحني المصداقية لزملائي وعائلتي. لقد أجريت مقابلات في Mozilla و Facebook و Google وحتى Automattic (منشئو WordPress) ، بالإضافة إلى آخرين. وعلى الرغم من أنني تمكنت من الحصول على المقابلة ، إلا أنني أخفق معهم دائمًا ولم أحصل على وظيفة أبدًا. من الصعب التحدث عن إخفاقاتك ، لكنني أعتقد أنه يمكن أن يساعد الآخرين على رؤية أن هناك ضوءًا في نهاية النفق إذا كنت مصمماً على أحلامك.

اليوم ، أنا أشارك في امتلاك أعمالي التجارية المربحة والناجحة ، WPScan. الكثير من الشركات التي أجريت مقابلات معها وفشلت هي الآن من عملائنا ، وفي حالة Automattic ، رعاتنا ، ونحن ممتنون جدًا لها.

في بعض الأحيان في الحياة ، قد لا تسلك المسار الدقيق الذي تعتقد أنه سيقودك إلى أحلامك. في بعض الأحيان ، يتعين عليك إنشاء طريقك الخاص في الحياة ، وتمهيد الطريق للآخرين ليتبعوك.

14. شكراً جزيلاً لك على هذه المقابلة. هل يمكنك إخبار قرائنا من فضلك أين يمكنهم العثور عليك على الإنترنت؟

بالتأكيد! تغرد كثيرًا من @ ethicalhack3r ، يمكنك أيضًا متابعة حساب Twitter الرسمي لـ WPScan.