WPScan'ın kurucusu Ryan Dewhurst ile röportaj

Ryan Dewhurst, WordPress topluluğundaki insanların web sitelerinin güvenlik durumunu iyileştirmelerine ve onları kötü niyetli saldırganlardan korumalarına yardımcı olmaya uzun yıllar adamış, etik bir hacker ve penetrasyon test cihazıdır.

Ryan, güvenlik uzmanları ve blog yöneticileri için sitelerinin güvenliğini test etmek için yazılmış ücretsiz, kara kutu WordPress güvenlik tarayıcısı olan WPScan'ın kurucusudur. WPScan CLI aracı şu anda 21.875 WordPress güvenlik açığından oluşan bir veritabanı kullanıyor.

1. Sizi tanımayanlar için bize ne yaptığınızı ve biraz geçmişinizden ve kimlik bilginizden bahsedin.

Hatırlayabildiğim kadarıyla bilgisayarlar ve internetle ilgileniyorum. O zamanlar bilgisayar sahibi olduğunu bildiğim tek kişi olan bir komşunun evine, Windows 95 makinesinde solitaire oynamaya giderdim. İnternete bile erişimi yoktu, ama ben bilgisayarla etkileşim kurmaktan mutluydum.

Daha sonra, gençliğimde, annemi bana kendi bilgisayarımı ve bu sefer internet erişimiyle almaya ikna ettim! Dünyanın her yerinden insanlarla etkileşim kurma yeteneği aklımı başımdan aldı. Yahoo o zamanlar büyüktü ve Yahoo adında bir hizmetleri vardı! Sohbet ve o serviste “Hacker's Lounge” adında bir sohbet odaları vardı. O sohbet odasında herkesin ne hakkında konuştuğunu, truva atlarını, RAT'leri, DoS'u, genel programlamayı vb.

Daha sonra, yerel üniversitenin Bilgisayar Güvenliği için Etik Hacking alanında lisans derecesi vermeye başlayacağını gördüm. Çalışmaya başlamak için 15 yaşımdayken okulu bırakmıştım, bu yüzden herhangi bir yeterliliğim yoktu. Kurs için gereksinimler, sahip olmadığım GCSE seviyesi Matematik ve İngilizce dahil olmak üzere en az üç yeterlilikti. Bu yüzden hemen düşük maaşlı işimi bıraktım ve gerekli nitelikleri elde etmek için fazla para kazanmadığım için ücretsiz olan hızlı bir üniversite kursuna girdim. Niteliklere rağmen, başlangıçta kursa katılmaktan reddedildim, ancak öğretmenin e-posta adresini bulmayı başardım ve ona bu kursun hayatta yapmak istediğim tek şey olduğunu nasıl hissettiğime dair uzun bir hikaye yazmayı başardım. Ve sonunda kursa kabul edildim! Dört yıl sonra kursu birincilik derecesiyle tamamladım.

Ondan sonra, bir web uygulaması güvenlik mühendisi olarak nüfuz eden bir test şirketinde çalışmaya başladım ve burada İngiltere'deki en iyi işletmelerin çoğunu güvenlik sorunları için test etmeye çalıştım. Kendi sızma testi şirketimi kurmak için bu işi bıraktım ve sonunda şu an bulunduğum yer olan WPScan'ı kurdum.

2. Web uygulaması güvenliği sektöründe yıllardır aktifsiniz. WordPress ile özel olarak ilgilenmenizi sağlayan şey nedir?

Deneyimlerim ve güvenlik hakkında öğrendiğim şeyler hakkında blog yazmaya başladım ve blog platformu seçimim olarak WordPress'i kullanmaya başladım. Bir gün, başka birinin yayınladığı ve WordPress'i etkileyen bir güvenlik açığıyla karşılaştım. Güvenlik alanında çalıştığım ve WordPress'i kendim kullandığım için, kendi web sitemde test etmek için güvenlik açığı için bir istismar yazdım. Daha sonra WordPress'i etkileyen diğer güvenlik zayıflıklarından oluşan bir tavşan deliğine başladım ve sonunda tüm bu bilgileri WPScan adlı bir araca koydum.

3. Pek çok web uygulaması güvenlik uzmanı WordPress'e tepeden bakar. WordPress'i asla kullanmayacaklarını veya çalışma şeklinin kusurlu olduğunu söyleyen birçok kişiyle konuştum (örneğin, bir eklentinin tüm kancalara tam erişimi var vb.). Bununla ilgili düşünceleriniz neler?

WordPress web'de çok yaygın olarak kullanıldığından, saldırganlar için cazip bir hedeftir. Bu, birçok güvenlik araştırmacısının ve siyah şapkalı bilgisayar korsanlarının WordPress henüz emekleme dönemindeyken incelemesine yol açtı. WordPress bugünkü kadar olgun olmadığı için birçok güvenlik sorunu bulundu. Ancak bugün, nispeten konuşursak, WordPress çekirdeği çok güvenli bir İçerik Yönetim Sistemidir (CMS). Bugünlerde sorun, üçüncü taraf eklentilerinde. Birçoğu var, bu da kullanıcıları ilk etapta çeken şeydir, ancak yüklediğiniz her eklenti aynı zamanda web siteniz için ekstra risk oluşturur.

Ancak bu, aynı zamanda, bu sorunu üstlenmek için oluşturulan yenilikçi şirketlerle daha iyi hale geliyor, deneyimlerime göre, zamanla WordPress eklentilerinin daha güvenli hale geldiğini görüyoruz. Sadece araştırma düzeyi ve şu anda bu alana adanmış şirketler nedeniyle.

4. WPScan ile ilgili olarak, açık kaynak kodlu bir tarayıcı, eklenti, güvenlik açıkları veritabanı vb. var. Bu projelerin nasıl birbirine bağlı olduğunu, kullanıcıların hangisini ve neden kullanması gerektiğini açıklayabilir misiniz?

WPScan WordPress güvenlik açığı veritabanı, tüm hizmetlerimizi birbirine bağlayan şeydir. Diğer tüm ürün ve hizmetlerimiz veri tabanına dayanır, verileri tüketen ve kullanıcılarımız için yararlı olacak şekilde sunan müşterilerdir.

WPScan CLI aracı, ticari olmayan kullanıcılar için ücretsiz olan ilk ürünümüzdü ve bir hacker'ın WordPress web sitenize ilişkin görüşünü vermek için bir WordPress web sitesini dışarıdan tarar. Ancak bu araç, kullanıcıların bir komut satırı kullanmaya aşina olmasını gerektirir ve bazen kullanıcının teknik düzeyine bağlı olarak kurulumu kolay olmayabilir. Bu araç gerçekten penetrasyon testçileri ve geliştiriciler için tasarlanmıştır.

Ürün ailemize en yeni eklememiz WPScan WordPress güvenlik eklentimizdir, bu daha çok sizin günlük WordPress kullanıcılarınız için tasarlanmıştır. Eklentiyi resmi WordPress deposundan yüklemeniz, API simgenizi yapılandırmanız, taramaları çalıştırmaya başlamanız ve güvenlik bildirimlerini almaya başlamanız yeterlidir. Eklentinin amacı, hacker'ın bunları kullanma şansı bulamadan sizi güvenlik sorunlarından haberdar etmektir.

5. WordPress eklentileri, temaları ve temel güvenlik açıklarından oluşan bir veritabanını korumak için ne gerekir? Yeni konulardan nasıl haberdar oluyorsunuz, nasıl sürdürülüyor?

Çok çalışmak gerekiyor. Veritabanımıza girdiğimiz her güvenlik açığı, uzman WordPress güvenlik mühendislerimizden biri tarafından yapılır, böylece bunun aslında gerçek bir güvenlik açığı olduğuna ve yanlış bir pozitif olmadığına yüksek derecede güvenebilirsiniz.

Çok çeşitli kaynaklardan güvenlik açıkları buluyoruz. WordPress, eklentiler veya temalardaki güvenlik açıklarını bulan ve bunları doğrudan bize gönderen bir grup bağımsız temel güvenlik araştırmacımız var. Ayrıca, WordPress'teki bir güvenlik açığından bahseden biri olabilecek belirli anahtar kelimeler için sosyal medyayı, forumları, blogları, web sitelerini ve arama motorlarını sürekli olarak izliyoruz.

Bazen kendimiz de bağımsız güvenlik araştırması yürütürüz. Örneğin, ekibimizin bir üyesi kısa süre önce WordPress çekirdeğinde yamalanmış bir Siteler Arası İstek sahteciliği (CSRF) güvenlik açığı keşfetti. Ayrıca, 0 günlük güvenlik açıklarını keşfetmemize yol açan web izleme saldırılarında bir dizi bal küpümüz var.

6. Bir güvenlik açığını yayınlamadan önce doğrulama sürecinin ne olduğunu okuyucularımıza açıklayabilir misiniz? Veya rapor edilen verilerin geçerli ve doğru olduğundan emin olmak için izlediğiniz herhangi bir süreç var mı?

Çoğu zaman bir güvenlik açığı raporunun yanlış olup olmadığı açıktır. Uzmanlardan oluşan ekibimiz genellikle sadece tavsiyeyi okuyarak teknik olarak doğru olup olmadığını anlayabilir. Diğer zamanlarda, bu o kadar kolay değildir ve savunmasız sürümü yükleyerek ve ondan yararlanmaya çalışarak güvenlik açığını kendimiz manuel olarak doğrulamamız gerekir.

Bizim için en çok zaman alan şey, zafiyetlerin triyajıdır. Yalnızca saldırganlara yardımcı olacaksa, güvenlik açıklarıyla ilgili bilgileri yayınlamak istemiyoruz. Ayrıntıları veritabanımıza eklemeden önce eklenti satıcısının güvenlik açığından haberdar olduğundan ve bir düzeltme eki gönderdiğinden emin olmak istiyoruz. Ancak, bazı satıcılarla iletişim kurulamadığı veya umursamadığı için durum her zaman böyle değildir. Bu durumda, WordPress kullanıcılarını korumak için harekete geçebilmeleri için güvenlik açığından haberdar olmalarını sağlamak için WordPress eklentisi ekibiyle yakın bir şekilde çalışıyoruz.

Bu sürecin şeffaf olduğundan emin olmak için, aldığımız güvenlik açığı verilerini nasıl işlediğimizi özetleyen bir kamuyu aydınlatma politikamız da var.

7. WP güvenlik açığı veritabanında ve WPScan projesinde şimdiye kadar gördüklerinize dayanarak, WordPress güvenliğinin ve güvenli kodlamanın (eklentiler, temalarda) vb. geleceği hakkında düşünceleriniz nelerdir?

İyimserim ve her şeyin daha iyiye gittiğini düşünüyorum. Günümüzde WordPress güvenliğine çok daha fazla odaklanılıyor ve çok daha fazla çözüm mevcut. WordPress çekirdeğinin, tüm eklentilerin ve tüm temaların %100 güvenli olduğu bir noktaya geleceğimizi hiç sanmıyorum, ancak büyük bir yükleme tabanına sahip eklentilerin çoğunun yeterince güvenli olduğu bir noktaya gelebileceğimizi düşünüyorum. . Sadece ondan uzaklaşmaya devam etmeliyiz.

8. Ayrıca geliştirme geçmişiniz var. WordPress eklentileri ve tema geliştiricileri için en önemli üç ipucunuz nedir?

1. Kullanıcı girişini doğrulayın ve kullanıcı çıkışını kodlayın. Örneğin, WordPress' esc_html(), esc_attr(), esc_url() işlevlerini eksiksiz ve doğru yerlerde kullanın.
2. SQL sorguları oluştururken daima hazırla() işlevini kullanın.
3. Tehlikeli işlevleri çalıştırmadan önce her zaman kullanıcının yeteneklerini kontrol edin.

9. Sizce, bir WordPress site yöneticisinin sitenin güvenliğini sağlamak ve güvenliğini sağlamak için yapması gereken en önemli üç şey veya en iyi güvenlik uygulamaları nelerdir?

1. WordPress sürümünüzü, eklentilerinizi ve temalarınızı güncel tutun.
2. Bir güvenlik eklentisi yükleyin. Dışarıda bir sürü iyi var, birini seç ve kullan.
3. Güvenli şifreler kullanın. Parolanızın benzersiz ve karmaşık olduğundan emin olun. Bu, örneğin bir şifre yöneticisi ile başarılabilir.

10. Web uygulaması güvenliği sektöründe uzun bir geçmişiniz var. Seni birkaç yıl önce DVWA sayesinde tanıdım. Okurlarımıza DVWA'nın ne olduğunu ve neden geliştirdiğinizi açıklayabilir misiniz?

Lanet olası Güvenlik Açığı Web Uygulaması (DVWA), üniversitedeyken kendime web uygulaması güvenliği hakkında bilgi vermek için oluşturduğum bir Açık Kaynak projesiydi. Öğrenmenin en iyi yolunun, gerçek sömürülebilir örneklere sahip olmak olduğunu düşündüm. Daha sonra başkalarından çok yardım aldıktan sonra çevrimiçi olarak yayınladım ve çok popüler oldu. Bugün eski bir arkadaşım Robin Wood ( @digininja ) tarafından yönetiliyor. Bu nedenle, yüklemeyle ilgili herhangi bir sorun yaşarsanız, eminim size yardımcı olmaktan memnuniyet duyacaktır.

11. Sizi sevenler için paylaşabileceğiniz herhangi bir ipucu ve/veya kaynak, WordPress ve uygulama güvenliği hakkında daha fazla bilgi edinmek ister misiniz?

Twitter bence en iyi kaynaklardan biri. Bu konuları yaşayan ve nefes alan bazı insanları takip edin ve onlardan öğrenin. Takip etmenizi önerdiğim bazı kişiler @tnash , @Random_Robbie , @Viss ve bahsedilecek daha pek çok kişi var. Ayrıca çok aktif olan harika bir Facebook WordPress güvenlik grubu var. Web uygulaması güvenliğine derinlemesine girmek istiyorsanız, Web Application Hacker's Handbook kitabını tavsiye ederim.

12. WPScan projesinin geleceği nasıl görünüyor? Planlar neler?

Yakın zamanda tüm güvenlik açığı veritabanı web sitesini yeniden tasarladık ve güvenlik açıklarını yönetmek için bunun arka ucuna çok çaba harcadık. WPScan CLI aracımız çok kararlı, 2011'den beri kullanılıyor, bu nedenle günümüzde çok az iyileştirme gerekiyor. Plan, güvenlik açığı veritabanımızın her zaman güncel ve doğru tutulmasını sağlamak için WordPress, eklentileri ve temalarındaki güvenlik sorunlarını araştırmaya zaman ayırmaya devam etmektir. Ayrıca ileriye dönük WordPress güvenlik eklentimize çok çaba sarf etmek istiyoruz, bunun WordPress ekosisteminde daha fazla tanınmamıza yardımcı olacağına inanıyoruz.

13. Başkalarına ilham vermemize yardımcı olmak için lütfen bize yolculuğunuz hakkında ve kariyeriniz boyunca karşılaştığınız tuzaklar ve üstesinden gelmenize ve mevcut başarıya ulaşmanıza ne yardımcı olduğu hakkında biraz daha bilgi verir misiniz?

Girişimde bundan biraz bahsettim ama burada bazı büyük teknoloji şirketlerinde çalışmaya çalışırken karşılaştığım tuzaklardan bahsedeceğim. Üniversiteden sonra büyük bir teknoloji şirketinde çalışmak istedim, bunun bana yaşıtlarıma ve aileme güvenilirlik kazandıracağını düşündüm. Mozilla, Facebook, Google ve hatta Automattic (WordPress'in yaratıcıları) ve diğerleriyle röportaj yaptım. Mülakata girmeyi başarmış olsam da, onları her zaman başarısızlığa uğrattım ve asla bir iş teklifi almadım. Başarısızlıklarınız hakkında konuşmak zor, ancak hayallerinizde ısrar ederseniz, başkalarının tünelin sonunda ışık olduğunu görmelerine yardımcı olabileceğine inanıyorum.

Bugün, kendi karlı ve başarılı işim olan WPScan'ın ortak sahibiyim. Görüştüğüm ve başarısız olduğum birçok şirket artık müşterilerimiz ve Automattic'in durumunda sponsorlarımız, ki buna çok müteşekkiriz.

Bazen hayatta seni hayallerine götüreceğini düşündüğün yolu tam olarak yürüyemeyebilirsin. Bazen hayatta kendi yolunuzu oluşturmanız ve başkalarının sizinkini izlemesi için zemin hazırlamanız gerekir.

14. Bu röportaj için çok teşekkür ederim. Lütfen okuyucularımıza sizi çevrimiçi olarak nerede bulabileceklerini söyler misiniz?

Elbette! @ethicalhack3r'den çok tweet atıyorum, WPScan'ın resmi Twitter hesabını da takip edebilirsiniz.