WPScan의 설립자 Ryan Dewhurst와의 인터뷰

Ryan Dewhurst는 WordPress 커뮤니티의 사람들이 웹 사이트의 보안 태세를 개선하고 악의적인 공격자로부터 보호하도록 돕는 데 수년 동안 헌신한 윤리적 해커이자 침투 테스터입니다.

Ryan은 보안 전문가와 블로그 관리자가 사이트 보안을 테스트할 수 있도록 작성된 무료 블랙박스 WordPress 보안 스캐너인 WPScan의 설립자입니다. WPScan CLI 도구는 현재 21,875개의 WordPress 취약점 데이터베이스를 사용합니다.

1. 당신을 모르는 사람들을 위해 당신이하는 일과 당신의 과거와 자격에 대해 조금 알려주십시오.

나는 기억할 수 있는 한 오랫동안 컴퓨터와 인터넷에 관심이 있었습니다. 나는 그 당시 내가 아는 유일한 사람이 컴퓨터를 소유하고 있는 이웃 집에 가서 그의 Windows 95 컴퓨터에서 솔리테어 게임을 하곤 했습니다. 그는 인터넷에 접속할 수 없었지만 나는 컴퓨터와 상호작용하는 것만으로도 행복했습니다.

나중에 십대가 되었을 때 나는 어머니를 설득하여 컴퓨터를 사주도록 했고 이번에는 인터넷에 접속할 수 있게 되었습니다! 전 세계 사람들과 교류할 수 있는 능력이 제 마음을 사로잡았습니다. 당시 야후는 거대했고 그들은 야후!라는 서비스를 가지고 있었습니다. 채팅, 그리고 그 서비스에서 그들은 "Hacker's Lounge"라는 대화방을 가지고 있었습니다. 나는 모든 사람들이 트로이 목마, RAT, DoS, 일반 프로그래밍 등에 대해 이야기하는 것에 대해 배우기 위해 그 대화방에서 밤낮을 보냈습니다.

나중에 나는 지역 대학에서 컴퓨터 보안을 위한 윤리적 해킹 학사 학위를 가르치기 시작하는 것을 보았습니다. 나는 15살 때 일을 시작하기 위해 학교를 중퇴했기 때문에 지금까지 어떤 자격도 없었습니다. 과정의 요구 사항은 GCSE 수준의 수학 및 영어를 포함하여 최소 3개의 자격이 있었는데 제가 가지고 있지 않았습니다. 그래서 나는 즉시 저임금 직장을 그만두고 필요한 자격을 얻기 위해 돈을 많이 벌지 못했기 때문에 무료로 제공되는 패스트 트랙 대학 과정을 수강했습니다. 자격이 있음에도 불구하고 처음에는 과정 참여가 거부되었지만 선생님의 이메일 주소를 찾아서 이 과정이 내가 인생에서 하고 싶은 유일한 것이라고 느낀 방법에 대한 긴 이야기를 그에게 썼습니다. 그리고 드디어 코스에 합격했습니다! 4년 후 나는 일류 우등으로 과정을 마쳤습니다.

그 후, 저는 침투 테스트 회사에서 웹 애플리케이션 보안 엔지니어로 일하면서 보안 문제에 대해 많은 영국 최고의 기업을 테스트하는 일을 했습니다. 나는 이 직업을 그만두고 내 자신의 침투 테스트 회사를 시작했고 결국 지금의 WPScan을 시작했습니다.

2. 수년간 웹 애플리케이션 보안 업계에서 활동했습니다. 특히 WordPress에 관심을 갖게 된 계기는 무엇입니까?

저는 제 경험과 보안에 대해 배웠고 우연히 WordPress를 블로깅 플랫폼으로 선택한 것에 대해 블로그를 시작했습니다. 어느 날 다른 사람이 게시하여 WordPress에 영향을 주는 보안 취약점을 발견했습니다. 보안 분야에서 일하면서 WordPress를 직접 사용하면서 내 웹사이트에서 테스트하기 위해 취약점에 대한 익스플로잇을 작성했습니다. 그런 다음 WordPress에 영향을 미친 다른 보안 취약점의 토끼 구멍을 찾기 시작했고 결국 이 모든 지식을 WPScan이라는 도구에 넣었습니다.

3. 많은 웹 애플리케이션 보안 전문가들은 WordPress를 무시합니다. 나는 WordPress를 절대 사용하지 않을 것이라고 말하거나 작동 방식에 결함이 있다고 말하는 많은 사람들과 이야기를 나눴습니다(예를 들어 플러그인은 모든 후크 등에 대한 전체 액세스 권한을 가짐). 그것에 대해 어떻게 생각하세요?

워드프레스는 웹에서 널리 사용되기 때문에 공격자들에게 매력적인 표적이 됩니다. 이로 인해 많은 보안 연구원과 블랙 햇 해커가 WordPress가 아직 초기 단계에 있을 때 WordPress를 조사하게 되었습니다. WordPress가 오늘날만큼 성숙하지 않았기 때문에 많은 보안 문제가 발견되었습니다. 그러나 오늘날 상대적으로 말해서 WordPress 코어는 매우 안전한 CMS(콘텐츠 관리 시스템)입니다. 요즘 문제는 타사 플러그인에 있습니다. 처음에는 사용자를 끌어들이는 플러그인이 너무 많지만 설치하는 모든 플러그인은 웹사이트에 추가 위험을 초래합니다.

그러나 이 문제를 해결하기 위해 혁신적인 회사가 만들어짐에 따라 이 또한 개선되고 있습니다. 제 경험에 따르면 시간이 지남에 따라 WordPress 플러그인이 더 안전해지는 것을 볼 수 있습니다. 단순히 현재 이 분야에 전념하는 연구 및 회사의 수준 때문입니다.

4. WPScan과 관련하여 오픈 소스 스캐너, 플러그인, 취약점 데이터베이스 등이 있습니다. 이러한 프로젝트가 어떻게 연결되어 있고 사용자가 어떤 것을 사용해야 하며 왜 사용해야 하는지 설명해 주시겠습니까?

WPScan WordPress 취약점 데이터베이스는 우리의 모든 서비스를 하나로 묶는 것입니다. 우리의 다른 모든 제품과 서비스는 데이터베이스에 의존하며 데이터를 사용하고 사용자에게 유용한 방식으로 데이터를 제공하는 클라이언트입니다.

WPScan CLI 도구는 비상업적 사용자가 무료로 사용할 수 있는 최초의 제품으로 외부 관점에서 WordPress 웹사이트를 스캔하여 해커가 WordPress 웹사이트를 볼 수 있도록 합니다. 그러나 이 도구는 사용자가 명령줄 사용에 익숙해야 하며 사용자의 기술 수준에 따라 설치가 간단하지 않을 수 있습니다. 이 도구는 실제로 침투 테스터와 개발자를 위해 설계되었습니다.

제품군에 가장 최근에 추가된 것은 WPScan WordPress 보안 플러그인으로, 이는 일상적인 WordPress 사용자를 위해 더 많이 설계되었습니다. 공식 WordPress 저장소에서 플러그인을 설치하고, API 토큰을 구성하고, 스캔 실행을 시작하고, 보안 알림 수신을 시작하기만 하면 됩니다. 플러그인의 아이디어는 해커가 보안 문제를 악용하기 전에 보안 문제를 인식하도록 하는 것입니다.

5. WordPress 플러그인, 테마 및 핵심 취약점의 데이터베이스를 유지하려면 무엇이 필요합니까? 새로운 문제를 어떻게 발견하고 유지 관리합니까?

많은 작업이 필요합니다. 우리가 데이터베이스에 입력하는 모든 취약점은 전문 WordPress 보안 엔지니어 중 한 명이 수행하므로 오탐지가 아니라 실제로 실제 취약점이라는 높은 수준의 확신을 가질 수 있습니다.

우리는 다양한 출처에서 취약점을 찾습니다. WordPress, 플러그인 또는 테마에서 취약점을 찾아 우리에게 직접 제출하는 독립적인 하드 코어 보안 연구원 그룹이 있습니다. 또한 WordPress의 보안 취약점에 대해 이야기할 수 있는 특정 키워드에 대해 소셜 미디어, 포럼, 블로그, 웹사이트 및 검색 엔진을 지속적으로 모니터링합니다.

우리는 때때로 독립적인 보안 연구를 자체적으로 수행합니다. 예를 들어, 우리 팀의 구성원은 최근에 패치된 WordPress 코어에서 CSRF(Cross-Site Request Forgery) 취약점을 발견했습니다. 또한 웹 모니터링 공격에 대한 여러 허니팟이 있어 0-day 취약점을 발견하게 되었습니다.

6. 독자들에게 공개하기 전에 취약점을 확인하는 과정을 설명할 수 있습니까? 아니면 보고된 데이터가 유효하고 정확한지 확인하기 위해 따르는 프로세스가 있습니까?

대부분의 경우 취약점 보고서가 거짓인지 아닌지는 분명합니다. 우리 전문가 팀은 일반적으로 권고 사항을 읽으면 기술적으로 올바른지 여부를 알 수 있습니다. 다른 때는 그렇게 쉽지 않고 취약한 버전을 설치하고 악용을 시도하여 수동으로 취약성을 직접 확인해야 합니다.

우리에게 가장 시간이 많이 걸리는 것은 취약점의 분류입니다. 공격자를 돕기 위한 것이라면 취약점에 대한 정보를 공개하고 싶지 않습니다. 플러그인 공급업체가 취약점을 인지하고 데이터베이스에 세부 정보를 추가하기 전에 패치를 푸시했는지 확인하고 싶습니다. 그러나 일부 공급업체는 연락할 수 없거나 관심이 없기 때문에 항상 그런 것은 아닙니다. 이 경우 WordPress 플러그인 팀과 긴밀하게 협력하여 취약점을 인지하고 WordPress 사용자를 보호하기 위한 조치를 취할 수 있습니다.

이 프로세스를 투명하게 하기 위해 우리는 또한 우리가 받은 취약성 데이터를 처리하는 방법을 설명하는 공개 정책을 가지고 있습니다.

7. 지금까지 WP 취약점 데이터베이스와 WPScan 프로젝트에서 본 것을 바탕으로 WordPress 보안 및 보안 코딩(플러그인, 테마) 등의 미래에 대해 어떻게 생각하십니까?

나는 낙관론자이고 상황이 나아지고 있다고 생각합니다. 요즘 WordPress 보안에 더 많은 초점을 맞추고 있으며 더 많은 솔루션을 사용할 수 있습니다. WordPress 코어, 모든 플러그인 및 모든 테마가 100% 안전한 지점에 도달할 것이라고는 생각하지 않지만 대규모 설치 기반을 가진 대부분의 플러그인이 충분히 안전한 지점에 도달할 수 있다고 생각합니다 . 우리는 그것을 계속해서 치워야만 합니다.

8. 또한 개발 배경이 있습니다. WordPress 플러그인 및 테마 개발자에게 가장 중요한 세 가지 팁은 무엇입니까?

1. 사용자 입력을 확인하고 사용자 출력을 인코딩합니다. 예를 들어 워드프레스의 esc_html(), esc_attr(), esc_url() 기능을 정확한 위치에서 철저하게 사용하십시오.
2. SQL 쿼리를 생성할 때 항상 prepare() 함수를 사용하십시오.
3. 위험한 기능을 실행하기 전에 항상 사용자의 능력을 확인하십시오.

9. WordPress 사이트 관리자가 사이트를 보호하고 보안을 유지하기 위해 수행해야 하는 가장 중요한 세 가지 또는 보안 모범 사례는 무엇이라고 생각하십니까?

1. WordPress 버전, 플러그인 및 테마를 최신 상태로 유지하세요.
2. 보안 플러그인을 설치합니다. 좋은 것들이 많이 있으니 하나 골라서 사용하세요.
3. 안전한 비밀번호를 사용하세요. 암호가 고유하고 복잡한지 확인하십시오. 이것은 예를 들어 암호 관리자를 사용하여 달성할 수 있습니다.

10. 당신은 웹 애플리케이션 보안 업계에서 오랜 역사를 가지고 있습니다. 몇 년 전 DVWA를 통해 당신을 알게 되었습니다. 독자들에게 DVWA가 무엇이며 왜 개발했는지 설명해 주시겠습니까?

Damn Vulnerable Web App(DVWA)은 대학에서 웹 애플리케이션 보안에 대해 스스로 가르치기 위해 만든 오픈 소스 프로젝트였습니다. 가장 좋은 학습 방법은 실제 악용할 수 있는 예제를 사용하는 것이라고 생각했습니다. 나중에 다른 분들의 많은 도움을 받아 온라인에 출시했고 많은 인기를 얻었습니다. 오늘은 Robin Wood( @digininja )의 오랜 친구가 관리하고 있습니다. 따라서 설치하는 데 문제가 있는 경우 기꺼이 도와줄 것입니다.

11. WordPress 및 애플리케이션 보안에 대해 자세히 알고 싶은 사람들에게 공유할 수 있는 팁 및/또는 리소스가 있습니까?

트위터는 제 생각에 최고의 리소스 중 하나입니다. 그 주제에 살고 숨쉬는 사람들을 팔로우하고 그들로부터 배우십시오. 내가 팔로우할 것을 추천하는 사람들은 @tnash , @Random_Robbie , @Viss 이고 언급할 다른 사람들이 너무 많습니다. 매우 활동적인 Facebook WordPress 보안 그룹도 있습니다. 웹 애플리케이션 보안에 대해 더 깊이 알고 싶다면 Web Application Hacker's Handbook 책을 추천합니다.

12. WPScan 프로젝트의 미래는 어떤 모습인가요? 계획은 무엇입니까?

우리는 최근 전체 취약점 데이터베이스 웹사이트를 재설계하고 취약점 관리를 위해 백엔드에 많은 노력을 기울였습니다. 우리의 WPScan CLI 도구는 매우 안정적이며 2011년부터 사용되었으므로 오늘날에는 거의 개선이 필요하지 않습니다. 계획은 WordPress, 플러그인 및 테마의 보안 문제를 연구하는 데 계속 시간을 투자하여 취약성 데이터베이스가 항상 정확한 최신 상태로 유지되도록 하는 것입니다. 우리는 또한 앞으로 WordPress 보안 플러그인에 많은 노력을 기울이고 싶습니다. 이것이 WordPress 생태계에서 우리가 더 많이 알려지는 데 도움이 될 것이라고 믿습니다.

13. 다른 사람들에게 영감을 줄 수 있도록 귀하의 여정에 대해 좀 더 말씀해 주시겠습니까? 경력을 통해 직면한 함정과 현재의 성공을 달성하고 극복하는 데 도움이 된 것은 무엇입니까?

내 소개에서 이것에 대해 조금 이야기했지만 여기에서는 일부 대형 기술 회사에서 일하려고 할 때의 함정에 대해 이야기하겠습니다. 대학을 졸업한 후에는 대형 기술 회사에서 일하고 싶었고, 이것이 동료와 가족에게 신뢰를 줄 수 있을 것이라고 생각했습니다. Mozilla, Facebook, Google 및 Automattic(WordPress 제작자)과 다른 사람들과 인터뷰했습니다. 그리고 인터뷰에 성공했지만 항상 낙방했고 일자리 제의도 받지 못했습니다. 자신의 실패에 대해 이야기하기 어렵지만 꿈을 꾸는 것이 터널의 끝에 빛이 있다는 것을 다른 사람들이 깨닫는 데 도움이 될 수 있다고 믿습니다.

오늘날 나는 수익성 있고 성공적인 비즈니스인 WPScan을 공동 소유하고 있습니다. 제가 인터뷰를 하다가 실패했던 많은 회사들이 이제는 우리의 고객이 되었고, Automattic의 경우 우리의 스폰서가 되어 매우 감사하게 생각합니다.

인생에서 때때로 당신은 당신을 당신의 꿈으로 이끌 것이라고 생각하는 정확한 길을 걷지 않을 수 있습니다. 때로는 인생의 길을 스스로 개척해야 하고, 다른 사람들이 당신의 길을 따를 수 있도록 토대를 마련해야 합니다.

14. 인터뷰에 응해주셔서 감사합니다. 독자들이 온라인에서 귀하를 찾을 수 있는 곳을 알려주시겠습니까?

확신하는! @ethicalhack3r에서 많은 트윗을 하고 있습니다. WPScan의 공식 트위터 계정도 팔로우할 수 있습니다.