สัมภาษณ์ความเสี่ยงด้านโค้ด – บริการวิเคราะห์ซอร์สโค้ดฟรีสำหรับปลั๊กอิน WordPress
เผยแพร่แล้ว: 2018-10-17ช่องโหว่ในปลั๊กอิน WordPress เป็นสาเหตุของการแฮ็กไซต์มากกว่าช่องโหว่ใน WordPress core สาเหตุหนึ่งที่เกิดขึ้นคือการขาดทรัพยากร ซอฟต์แวร์มักจะมีช่องโหว่อยู่เสมอ แม้ว่ารหัสหลักของ WordPress จะถูกตรวจสอบโดยคนหลายพันคน นอกจากนี้ มูลนิธิยังมีการจัดสรรทรัพยากรเพื่อให้แน่ใจว่ารหัสมีความปลอดภัยมากที่สุด
ในทางกลับกัน ผู้พัฒนาปลั๊กอินจำนวนมากไม่มีทรัพยากรที่พร้อมใช้งานเพื่อให้แน่ใจว่าโค้ดของปลั๊กอินนั้นปลอดภัย โดยเฉพาะอย่างยิ่งหากเป็นปลั๊กอินขนาดเล็ก แม้ว่าทุกอย่างจะเปลี่ยนไป ตามที่ Hendrik Buchwald อธิบายในการสัมภาษณ์ครั้งนี้ เฮนดริกเป็นวิศวกรซอฟต์แวร์ นักวิจัยด้านความปลอดภัย และผู้ร่วมก่อตั้ง RIPS Technologies
เทคโนโลยี RIPS ทำอะไร?
RIPS Technologies เป็นบริษัทไฮเทคที่ตั้งอยู่ในเมืองโบคุม ประเทศเยอรมนี เรานำเสนอการวิเคราะห์ความปลอดภัยอัตโนมัติสำหรับแอปพลิเคชัน PHP เป็นการติดตั้งซอฟต์แวร์ในเครื่องหรือบริการคลาวด์ที่ปรับขนาดได้สูง อัลกอริธึมการวิเคราะห์โค้ดที่เป็นนวัตกรรมใหม่ของเรา ซึ่งทุ่มเทให้กับภาษา PHP โดยเฉพาะ สามารถระบุช่องโหว่ด้านความปลอดภัยที่ซับซ้อนในแอปพลิเคชันสมัยใหม่ ไม่เหมือนโซลูชันอื่น ภารกิจของเราคือให้นักพัฒนาและผู้เชี่ยวชาญด้านความปลอดภัยได้รับการวิเคราะห์ความปลอดภัยที่ถูกต้องและมีประสิทธิภาพมากที่สุด
คุณคิดว่าอะไรคือข้อผิดพลาดด้านความปลอดภัยที่พบบ่อยที่สุดที่นักพัฒนาซอฟต์แวร์ทำ และช่องโหว่ 3 อันดับแรกที่คุณเห็นในปลั๊กอิน WordPress คืออะไร
ไม่น่าแปลกใจเลยที่ปัญหาที่พบบ่อยที่สุดคือช่องโหว่ของ cross-site scripting (XSS) ซึ่งเกิดขึ้นเมื่อข้อมูลของผู้ใช้ถูกพิมพ์โดยไม่มีการดูแลที่เหมาะสมในหน้าตอบกลับ HTML ประการหนึ่ง ปัญหาเหล่านี้มักเกิดขึ้นเนื่องจากข้อมูลที่ส่งออกเป็นการดำเนินการทั่วไปของแอปพลิเคชัน PHP และได้รับผลกระทบจากการละเมิดความปลอดภัยมากกว่าการดำเนินการอื่นๆ และประการที่สอง เนื่องจากบริบท HTML ที่หลากหลายและข้อผิดพลาดในการทำให้สะอาด ปัญหาเหล่านี้จึงสามารถแนะนำได้ง่าย ช่องโหว่ Cross-site scripting (XSS) นั้นค่อนข้างร้ายแรงใน WordPress เนื่องจากสามารถใช้ ตัวอย่างเช่น เพื่อฉีดโค้ด PHP ผ่านตัวแก้ไขเทมเพลต โชคดีที่พวกเขาต้องการการโต้ตอบกับผู้ดูแลระบบ
ปัญหาที่พบบ่อยที่สุดอันดับสองคือช่องโหว่ของการฉีด SQL การฉีด SQL นั้นรุนแรงกว่าช่องโหว่ของ cross-site scripting เพราะในกรณีที่เลวร้ายที่สุด สามารถใช้เพื่อดึงข้อมูลที่ละเอียดอ่อนออกจากฐานข้อมูลได้ เช่น รหัสผ่าน โดยที่ผู้ใช้ไม่ต้องดำเนินการใดๆ เลย เป็นผลให้สามารถใช้สำหรับการโจมตีที่เป็นอันตรายโดยอัตโนมัติอย่างสมบูรณ์
ดีหรือไม่ดีแค่ไหนที่คุณคิดว่าการรักษาความปลอดภัยโดยรวมของปลั๊กอิน 1,000 ตัวที่ได้รับความนิยมสูงสุด/ดาวน์โหลดมากที่สุด?
คำตอบนี้ตอบยากเพราะฉันยังไม่ได้ดูรายละเอียดปลั๊กอินยอดนิยม 1,000 รายการอย่างละเอียด การดำเนินการดังกล่าวจะใช้เวลาหลายเดือนจึงจะเสร็จสมบูรณ์ และเมื่อถึงเวลาที่เราพร้อม เราจะต้องเริ่มต้นใหม่อีกครั้งเนื่องจากปลั๊กอินบางตัวได้รับการอัปเดตบ่อยมาก
เหตุใดจึงต้องใช้บริการรักษาความปลอดภัยอัตโนมัติ เช่น Code Risk แม้ว่าจากคะแนน CodeRisk ซึ่งสร้างขึ้นจากการสแกนซอร์สโค้ดแบบอัตโนมัติและไม่ได้รับการยืนยันที่เราทำบนที่เก็บ ฉันสามารถพูดได้ว่าโค้ดส่วนใหญ่ไม่ได้แย่ แม้ว่าจะมีปลั๊กอินที่มีคะแนนไม่ดีอยู่ด้วย ปลั๊กอินเหล่านี้ส่วนใหญ่มีขนาดใหญ่มากและมีฟังก์ชันมากมาย สิ่งนี้จะเพิ่มโอกาสในการเกิดข้อผิดพลาดโดยอัตโนมัติ จากการทดสอบด้วยตนเอง เราสามารถพูดได้ว่าปลั๊กอินขนาดใหญ่มักจะมีช่องโหว่เชิงตรรกะอยู่บ่อยครั้ง
คุณช่วยบอกเราหน่อยเกี่ยวกับสิ่งที่คุณเสนอให้กับนักพัฒนาปลั๊กอิน WordPress ได้ไหม?
CodeRisk โครงการล่าสุดของเราช่วยให้นักพัฒนาและผู้ใช้ประเมินความเสี่ยงด้านความปลอดภัยของโค้ดของปลั๊กอินได้ฟรี สำหรับตอนนี้ จำกัดเฉพาะปลั๊กอิน WordPress ที่โฮสต์ในที่เก็บ WordPress อย่างเป็นทางการ
เรากำลังดึงปลั๊กอินใหม่โดยอัตโนมัติจากที่เก็บ WordPress และสแกนด้วย RIPS สแกนเนอร์ความปลอดภัย PHP ของเรา ผลลัพธ์โดยละเอียดของ RIPS จะรวมกันเป็นค่าความเสี่ยงที่เข้าใจได้ง่าย ค่านี้จะพิจารณาถึงความรุนแรงของการแสวงหาประโยชน์ที่ประสบความสำเร็จ ปริมาณของปัญหาที่พบซึ่งสัมพันธ์กับขนาดโค้ด และโอกาสที่ปัญหาจะถูกนำไปใช้ในทางที่ผิดโดยบุคคลที่สาม
นักพัฒนาปลั๊กอินสามารถขอผลลัพธ์โดยละเอียดสำหรับปลั๊กอินของตนเองได้ผ่านระบบอัตโนมัติ พวกเขาสามารถใช้ข้อมูลเพื่อแก้ไขจุดอ่อนที่เป็นไปได้และทำให้โค้ดของตนแข็งแกร่งขึ้น ทำให้ระบบนิเวศของ WordPress มีความปลอดภัยมากขึ้น แนวคิดเบื้องหลัง CodeRisk คือการช่วยให้นักพัฒนาปลั๊กอินสามารถค้นหาปัญหาในโค้ดของตนเองได้ แม้ว่าจะไม่ได้เชี่ยวชาญด้านความปลอดภัยก็ตาม แม้ว่าเราจะทำการวิจัยมากมายเกี่ยวกับความปลอดภัยของ WordPress และรายงานช่องโหว่จำนวนมากต่อนักพัฒนา แต่ก็มีปลั๊กอินจำนวนมากเกินกว่าที่จะวิเคราะห์ด้วยตนเองได้
นักพัฒนาปลั๊กอินหลายคนสมัครและใช้บริการวิเคราะห์ซอร์สโค้ดฟรีของคุณหรือไม่? การตอบสนองจากชุมชน WordPress เป็นอย่างไร?
ปัจจุบันมีนักพัฒนาปลั๊กอินไม่กี่โหลที่ใช้ CodeRisk เพื่อลดความเสี่ยงของช่องโหว่ด้านความปลอดภัยในปลั๊กอินของตน เราได้รับผลตอบรับที่ดีมากมายจนถึงตอนนี้ และ CodeRisk ได้ช่วยแก้ไขปัญหาหลายร้อยรายการแล้ว
เครื่องสแกนอัตโนมัติมักจะรายงานผลบวกที่ผิดพลาดและกรณีขอบที่อาจไม่สามารถใช้ประโยชน์ได้ เมื่อพิจารณาจากนักพัฒนาหลายคนไม่เชี่ยวชาญด้านความปลอดภัย คุณกำลังทำอะไรเพื่อช่วยพวกเขาและหลีกเลี่ยงการแจ้งเตือนที่ผิดพลาด
ผู้ใช้ของเราควรทราบว่าเราเน้นรหัสที่ก่อให้เกิดความเสี่ยงด้านความปลอดภัย ท่ามกลางช่องโหว่ด้านความปลอดภัยที่ไม่ได้ตั้งใจ ซึ่งรวมถึงการค้นพบอื่นๆ เช่น การป้องกันที่อ่อนแอที่อาจกลายเป็นภัยคุกคามในภายหลัง
คุณไม่จำเป็นต้องรู้ว่าปัญหาสามารถใช้ประโยชน์ได้หรือไม่และอย่างไร เพื่อให้แน่ใจว่าจะไม่กลายเป็นภัยคุกคามด้านความปลอดภัยในอนาคต ตัวอย่างเช่น หากคุณพิมพ์ค่าส่งคืนของฟังก์ชัน ตรวจสอบให้แน่ใจว่าได้เข้ารหัสอย่างถูกต้อง เพื่อป้องกันช่องโหว่ของ cross-site scripting แม้ว่าค่าที่ส่งคืนจะไม่มีการป้อนข้อมูลของผู้ใช้ แต่อาจไม่ใช่กรณีนี้ในอนาคต
คุณเห็นโครงการ WordPress ฟรีนี้ไปที่ใด คุณมีแผนสำหรับมันหรือไม่? อาจเสนอบริการระดับพรีเมียมเพื่อจับมือนักพัฒนา ช่วยให้พวกเขาเข้าใจผลลัพธ์และทำให้ดีที่สุด?
CodeRisk รุ่นถัดไปจะเพิ่มการสนับสนุนสำหรับธีม WordPress เนื่องจากเป็นส่วนสำคัญของบล็อกส่วนใหญ่ และบ่อยครั้งก็มีช่องโหว่เช่นกัน ในบางจุด เราต้องการขยาย CodeRisk ไปยังระบบจัดการเนื้อหาอื่นๆ ขณะนี้ยังไม่มีแผนสำหรับบริการระดับพรีเมียม แต่ถ้ามีความต้องการเพียงพอก็อาจมีการเปลี่ยนแปลง
คุณสามารถให้แนวทางปฏิบัติที่ดีที่สุดสำหรับการพัฒนาที่ปลอดภัยแก่นักพัฒนา WordPress สองหรือสามข้อเพื่อให้พวกเขาสามารถเขียนโค้ดที่ปลอดภัยยิ่งขึ้นได้หรือไม่?
หากคุณต้องการเขียนรหัสที่ปลอดภัยยิ่งขึ้น อย่าวางใจรหัสที่มีอยู่อย่างสุ่มสี่สุ่มห้า สมมติเสมอว่าฟังก์ชันอาจส่งคืนอินพุตของผู้ใช้และปฏิบัติต่อพวกเขาเช่นนั้น สำหรับข้อมูลทั่วไปเกี่ยวกับวิธีการเขียนโค้ด PHP ที่ปลอดภัย โปรดดูคู่มือ 2018 ในการสร้างซอฟต์แวร์ PHP ที่ปลอดภัย
เยี่ยมชมเว็บไซต์ CodeRisk สำหรับข้อมูลเพิ่มเติมเกี่ยวกับบริการ และหากคุณเป็นนักพัฒนาปลั๊กอิน WordPress และปลั๊กอินของคุณอยู่ในที่เก็บปลั๊กอิน WordPress ให้ลงชื่อสมัครใช้บัญชีฟรีเพื่อดูว่าปลั๊กอินของคุณอาจมีช่องโหว่ใดบ้าง