Интервью с Райаном Дьюхерстом, основателем WPScan

Райан Дьюхерст — этичный хакер и специалист по тестированию на проникновение, который много лет посвятил помощи людям в сообществе WordPress улучшить состояние безопасности своих веб-сайтов и защитить их от злоумышленников.

Райан является основателем WPScan, бесплатного сканера безопасности WordPress «черный ящик», написанного для специалистов по безопасности и ведущих блогов для проверки безопасности их сайтов. Инструмент WPScan CLI в настоящее время использует базу данных из 21 875 уязвимостей WordPress.

1. Для тех, кто вас не знает, расскажите, чем вы занимаетесь, и немного о вашем прошлом и послужном списке.

Я интересовался компьютерами и Интернетом столько, сколько себя помню. Я ходил к соседям, единственному человеку, у которого в то время был компьютер, чтобы раскладывать пасьянсы на его машине с Windows 95. У него даже не было доступа к интернету, а я был счастлив, просто взаимодействуя с компьютером.

Позже, в подростковом возрасте, я уговорил маму купить мне собственный компьютер, и на этот раз с доступом в Интернет! Возможность общаться с людьми со всего мира поразила меня. В то время Yahoo была большой компанией, и у них была служба под названием Yahoo! Чат, а в этом сервисе у них был чат под названием «Хакерская гостиная». Я проводил ночи за ночами в этом чате, пытаясь узнать, о чем все говорят, о троянах, RAT, DoS, общем программировании и так далее.

Позже я увидел, что местный университет собирается начать обучение на степень бакалавра по этичному взлому компьютерной безопасности. Я бросил школу, когда мне было 15 лет, чтобы начать работать, поэтому у меня не было никакой квалификации. Требованиями к курсу были как минимум три квалификации, включая математику уровня GCSE и английский язык, которых у меня не было. Поэтому я немедленно уволился с низкооплачиваемой работы и прошел ускоренный курс обучения в колледже, который был бесплатным, потому что я не зарабатывал много денег, чтобы получить требуемую квалификацию. Даже с квалификацией мне изначально отказали в присоединении к курсу, но мне удалось найти адрес электронной почты учителя и написать ему длинную историю о том, что я чувствовал, что этот курс был единственным, чем я хотел заниматься в жизни. И, наконец, меня приняли на курс! Через четыре года я закончил курс с отличием первой степени.

После этого я устроился работать инженером по безопасности веб-приложений в компанию по тестированию на проникновение, где я тестировал многие ведущие британские компании на предмет проблем с безопасностью. Я оставил эту работу, чтобы основать собственную компанию по тестированию на проникновение, а затем и WPScan, где я и работаю сейчас.

2. Вы много лет активно работаете в сфере безопасности веб-приложений. Что именно вас заинтересовало в WordPress?

Я начал вести блог о своем опыте и вещах, которые я узнал о безопасности, и случайно выбрал WordPress в качестве платформы для ведения блога. Однажды я наткнулся на уязвимость в системе безопасности, опубликованную кем-то другим, которая повлияла на WordPress. Поскольку я работал в сфере безопасности и сам использовал WordPress, я написал эксплойт для проверки уязвимости на своем собственном веб-сайте. Затем я начал исследовать кроличью нору других уязвимостей безопасности, которые затрагивали WordPress, и в конечном итоге поместил все эти знания в инструмент, который я назвал WPScan.

3. Многие специалисты по безопасности веб-приложений смотрят на WordPress свысока. Я разговаривал со многими, кто говорил, что никогда не будет использовать WordPress или что его работа несовершенна (например, у плагина есть полный доступ ко всем хукам и т. д.). Что ты думаешь по этому поводу?

Поскольку WordPress так широко используется в Интернете, он является лакомой целью для злоумышленников. Это привело к тому, что многие исследователи безопасности и черные хакеры изучили WordPress, когда он был еще в зачаточном состоянии. Поскольку WordPress не был таким зрелым, как сегодня, было обнаружено много проблем с безопасностью. Но сегодня, условно говоря, ядро ​​WordPress представляет собой очень безопасную систему управления контентом (CMS). В настоящее время проблема заключается в сторонних плагинах. Их так много, что в первую очередь привлекает пользователей, но каждый устанавливаемый вами плагин также представляет дополнительный риск для вашего сайта.

Но это также улучшается, поскольку для решения этой проблемы создаются инновационные компании. По моему опыту, со временем мы видим, что плагины WordPress становятся более безопасными. Просто из-за уровня исследований и компаний, занимающихся этой областью сейчас.

4. Что касается WPScan, есть сканер с открытым исходным кодом, плагин, база данных уязвимостей и т. д. Не могли бы вы объяснить, как эти проекты связаны между собой, какой из них следует использовать пользователям и почему?

База данных уязвимостей WPScan WordPress — это то, что объединяет все наши сервисы. Все остальные наши продукты и услуги полагаются на базу данных, они являются клиентами, которые потребляют данные и представляют их в удобном для наших пользователей виде.

Инструмент WPScan CLI был нашим первым продуктом, бесплатным для некоммерческих пользователей. Он сканирует веб-сайт WordPress со стороны, чтобы дать хакеру представление о вашем веб-сайте WordPress. Но этот инструмент требует, чтобы пользователи были знакомы с использованием командной строки, и иногда его установка не может быть простой, в зависимости от технического уровня пользователя. Этот инструмент действительно предназначен для тестировщиков на проникновение и разработчиков.

Нашим новейшим дополнением к нашему семейству продуктов является наш плагин безопасности WPScan WordPress, он предназначен больше для вашего повседневного пользователя WordPress. Вы просто устанавливаете плагин из официального репозитория WordPress, настраиваете свой токен API, запускаете сканирование и начинаете получать уведомления безопасности. Идея плагина состоит в том, чтобы сообщить вам о проблемах безопасности до того, как хакер сможет их использовать.

5. Что нужно для ведения базы данных плагинов WordPress, тем и основных уязвимостей? Как вы узнаете о новых проблемах, как она поддерживается?

Это требует много работы. Каждая уязвимость, которую мы вносим в нашу базу данных, создается одним из наших опытных инженеров по безопасности WordPress, поэтому вы можете быть уверены, что это действительно реальная уязвимость, а не ложное срабатывание.

Мы находим уязвимости из самых разных источников. У нас есть группа независимых серьезных исследователей безопасности, которые находят уязвимости в WordPress, плагинах или темах и передают их нам напрямую. Мы также постоянно отслеживаем социальные сети, форумы, блоги, веб-сайты и поисковые системы на наличие определенных ключевых слов, которые могут указывать на уязвимость безопасности в WordPress.

Мы также иногда сами проводим независимые исследования в области безопасности. Например, член нашей команды недавно обнаружил уязвимость, связанную с подделкой межсайтовых запросов (CSRF) в ядре WordPress, которая с тех пор была исправлена. У нас также есть несколько приманок для веб-мониторинга атак, что привело к обнаружению уязвимостей нулевого дня.

6. Можете ли вы объяснить нашим читателям, как происходит проверка уязвимости перед ее публикацией? Или существует ли какой-либо процесс, которому вы следуете, чтобы гарантировать достоверность и правильность сообщаемых данных?

В большинстве случаев очевидно, является ли отчет об уязвимости ложным или нет. Наша команда экспертов обычно может сказать, просто прочитав рекомендацию, является ли она технически правильной или нет. В других случаях это не так просто, и нам приходится вручную проверять наличие уязвимости, устанавливая уязвимую версию и пытаясь использовать ее.

Больше всего времени у нас занимает сортировка уязвимостей. Мы не хотим раскрывать информацию об уязвимостях, если она просто поможет злоумышленникам. Мы хотим убедиться, что поставщик подключаемого модуля знает об уязвимости и выпустил исправление, прежде чем мы добавим подробности в нашу базу данных. Но это не всегда так, так как некоторые продавцы либо не на связи, либо им все равно. В этом случае мы тесно сотрудничаем с командой плагина WordPress, чтобы сообщить им об уязвимости, чтобы они могли принять меры для защиты пользователей WordPress.

Чтобы обеспечить прозрачность этого процесса, у нас также есть политика публичного раскрытия информации, в которой описывается, как мы обрабатываем полученные данные об уязвимостях.

7. Основываясь на том, что вы уже видели в базе данных уязвимостей WP и проекте WPScan, что вы думаете о будущем безопасности WordPress и безопасного кодирования (в плагинах, темах) и т. д.?

Я оптимист, и я думаю, что все становится лучше. В настоящее время гораздо больше внимания уделяется безопасности WordPress, и доступно гораздо больше решений. Я не думаю, что мы когда-нибудь дойдем до точки, когда ядро ​​WordPress, все плагины и все темы будут на 100% безопасны, но я думаю, что мы сможем достичь точки, когда большинство плагинов с большой базой установки будут достаточно безопасными. . Мы просто должны продолжать откалываться от него.

8. У вас также есть опыт разработки. Каковы ваши три главных совета разработчикам плагинов и тем WordPress?

1. Проверяйте пользовательский ввод и кодируйте пользовательский вывод. Например, используйте esc_html(), esc_attr(), esc_url() WordPress, функции тщательно и в правильных местах.
2. Всегда используйте функцию prepare() при создании SQL-запросов.
3. Всегда проверяйте возможности пользователя перед запуском опасных функций.

9. По вашему мнению, какие три самые важные вещи или передовые методы безопасности должен предпринять администратор сайта WordPress, чтобы защитить сайт и обеспечить его безопасность?

1. Обновляйте свою версию WordPress, плагины и темы.
2. Установите плагин безопасности. Есть куча хороших, выбери одну и пользуйся.
3. Используйте безопасные пароли. Убедитесь, что ваш пароль уникален и сложен. Этого можно добиться, например, с помощью менеджера паролей.

10. У вас большой опыт работы в сфере безопасности веб-приложений. Я познакомился с вами несколько лет назад через DVWA. Не могли бы вы объяснить нашим читателям, что такое DVWA и почему вы ее разработали?

Damn Vulnerable Web App (DVWA) — это проект с открытым исходным кодом, который я создал во время учебы в университете, чтобы помочь себе научиться безопасности веб-приложений. Я думал, что лучший способ учиться — это использовать реальные примеры использования. Позже я выпустил его онлайн после большой помощи других, и он стал очень популярным. Сегодня им управляет мой старый друг Робин Вуд ( @digininja ). Поэтому, если у вас возникнут проблемы с его установкой, я уверен, что он будет рад помочь.

11. Какими советами и/или ресурсами вы можете поделиться с теми, кто вам нравится, хотел бы узнать больше о WordPress и безопасности приложений?

Твиттер, на мой взгляд, один из лучших ресурсов. Подпишитесь на некоторых людей, которые живут и дышат этими темами и учитесь у них. Некоторые люди, которым я рекомендую следовать, это @tnash , @Random_Robbie , @Viss , и есть много других, которых следует упомянуть. Также есть отличная группа безопасности Facebook WordPress, которая очень активна. Если вы хотите углубиться в безопасность веб-приложений, я бы порекомендовал книгу Web Application Hacker's Handbook.

12. Как выглядит будущее проекта WPScan? Какие планы?

Недавно мы полностью изменили дизайн веб-сайта базы данных уязвимостей и приложили много усилий к его серверной части для управления уязвимостями. Наш инструмент командной строки WPScan очень стабилен, он существует с 2011 года, поэтому в настоящее время его не нужно улучшать. План состоит в том, чтобы продолжать инвестировать время в исследование проблем безопасности в WordPress, его плагинах и темах, чтобы иметь возможность гарантировать, что наша база данных уязвимостей всегда актуальна и точна. Мы также хотим приложить много усилий к нашему плагину безопасности WordPress в будущем, мы считаем, что это поможет нам стать более известными в экосистеме WordPress.

13. Чтобы вдохновить других, не могли бы вы рассказать нам немного больше о своем путешествии и немного больше о ловушках, с которыми вы столкнулись в своей карьере, и о том, что помогло вам выстоять и достичь нынешнего успеха?

Я немного говорил об этом во введении, но здесь я расскажу о своих ловушках при попытке работать в некоторых крупных технологических компаниях. После университета я хотел работать в крупной технологической компании, я думал, что это вызовет доверие у моих сверстников и семьи. Я брал интервью в Mozilla, Facebook, Google и даже в Automattic (создатели WordPress), а также в других компаниях. И хотя мне удавалось попасть на собеседование, я всегда их проваливал, и мне никогда не предлагали работу. Трудно говорить о своих неудачах, но я верю, что это может помочь другим увидеть свет в конце туннеля, если вы будете упорствовать в своих мечтах.

Сегодня я совладелец собственного прибыльного и успешного бизнеса WPScan. Многие компании, в которых я брал интервью и потерпел неудачу, теперь являются нашими клиентами, а в случае с Automattic — нашими спонсорами, за что мы очень благодарны.

Иногда в жизни вы можете идти не по тому пути, который, как вы думаете, приведет вас к вашей мечте. Иногда вам нужно создать свой собственный жизненный путь и заложить основу для других, чтобы они пошли по вашему пути.

14. Большое спасибо за это интервью. Не могли бы вы рассказать нашим читателям, где они могут найти вас в Интернете?

Конечно! Я много чирикаю от @ethicalhack3r, вы также можете подписаться на официальный аккаунт WPScan в Twitter.