专访 WPScan 创始人 Ryan Dewhurst

已发表: 2021-01-05

Ryan Dewhurst 是一名道德黑客和渗透测试员,多年来致力于帮助 WordPress 社区中的人们改善其网站的安全状况并保护他们免受恶意攻击者的侵害。

Ryan 是 WPScan 的创始人,这是一款免费的黑盒 WordPress 安全扫描器,专为安全专业人士和博客维护者编写,用于测试其网站的安全性。 WPScan CLI 工具目前使用一个包含 21,875 个 WordPress 漏洞的数据库。

1. 对于那些不认识您的人,请告诉我们您的工作以及您的过去和资历。

从我记事起,我就对计算机和互联网感兴趣。 我曾经去邻居家,当时我认识的唯一一个拥有电脑的人,在他的 Windows 95 机器上玩纸牌游戏。 他甚至无法访问互联网,但我很高兴与电脑互动。

后来,在我十几岁的时候,我说服妈妈给我买了我自己的电脑,这一次,我可以上网了! 与来自世界各地的人互动的能力让我大吃一惊。 雅虎当时很大,他们有一个叫雅虎的服务! 聊天,在该服务中,他们有一个名为“黑客休息室”的聊天室。 我在那个聊天室里夜以继日地试图了解每个人都在谈论什么,木马、RAT、DoS、通用编程等等。

后来我看到当地大学将开始教授计算机安全道德黑客的本科学位。 我 15 岁时离开学校开始工作,所以没有任何资格。 该课程的要求至少是三个资格,包括GCSE级别的数学和英语,而我没有。 所以我立即辞掉了我的低薪工作,并让自己参加了一个免费的快速大学课程,因为我挣的钱不多,以获得所需的资格。 即使有资格,我最初也被拒绝参加课程,但我设法找到了老师的电子邮件地址,并给他写了一个长篇故事,讲述我觉得这门课是我一生中唯一想做的事情。 最后,我被录取了! 四年后,我以一等荣誉完成了这门课程。

在那之后,我在一家渗透测试公司工作,担任 Web 应用程序安全工程师,在那里我测试了许多英国顶级企业的安全问题。 我辞掉了这份工作,创办了自己的渗透测试公司,最终成为了我现在所在的 WPScan。

2. 您多年来一直活跃在 Web 应用程序安全行业。 是什么让您对 WordPress 特别感兴趣?

我开始写博客,讲述我在安全方面学到的经验和知识,并且碰巧使用 WordPress 作为我选择的博客平台。 有一天,我遇到了一个其他人发布的影响 WordPress 的安全漏洞。 当我从事安全工作并自己使用 WordPress 时,我为该漏洞编写了一个漏洞利用程序,以便在我自己的网站上进行测试。 然后,我开始研究影响 WordPress 的其他安全漏洞,并最终将所有这些知识放入我称为 WPScan 的工具中。

3. 许多 Web 应用程序安全专家有点看不起 WordPress。 我和很多人谈过,他们说他们永远不会使用 WordPress,或者说它的工作方式有缺陷(例如,插件可以完全访问所有挂钩等)。 你对此有何看法?

由于 WordPress 在网络上使用如此广泛,因此它是攻击者的目标。 这导致许多安全研究人员和黑帽黑客在 WordPress 还处于起步阶段时就开始研究它。 由于 WordPress 不像今天这样成熟,因此发现了很多安全问题。 但是今天,相对而言,WordPress 核心是一个非常安全的内容管理系统(CMS)。 现在的问题在于其第三方插件。 它们太多了,这首先是吸引用户的原因,但是您安装的每个插件也会给您的网站带来额外的风险。

但这也越来越好,随着创新公司的诞生来解决这个问题,根据我的经验,随着时间的推移,我们看到 WordPress 插件变得更加安全。 仅仅是由于现在致力于该领域的研究水平和公司。

4. 关于WPScan,有一个开源扫描器、插件、漏洞数据库等。你能解释一下这些项目是如何连接在一起的,用户应该使用哪一个,为什么?
WPScan 水平标志
WPScan WordPress 漏洞数据库将我们所有的服务粘合在一起。 我们所有的其他产品和服务都依赖于数据库,它们是使用数据并以对我们的用户有用的方式呈现数据的客户端。

WPScan CLI 工具是我们的第一款产品,可供非商业用户免费使用,它从外部角度扫描 WordPress 网站,让黑客可以看到您的 WordPress 网站。 但是这个工具需要用户熟悉使用命令行,有时安装起来并不简单,这取决于用户的技术水平。 这个工具真的是为渗透测试人员和开发人员设计的。

WPScan 网站

我们产品系列的最新成员是我们的 WPScan WordPress 安全插件,它更适合您的日常 WordPress 用户。 您只需从官方 WordPress 存储库安装插件,配置您的 API 令牌,开始运行扫描并开始接收安全通知。 该插件的想法是让您在黑客有机会利用它们之前了解安全问题。

5. 维护 WordPress 插件、主题和核心漏洞的数据库需要什么? 您如何发现新问题,如何维护?

这需要很多工作。 我们输入数据库的每个漏洞都是由我们的一位专业 WordPress 安全工程师完成的,因此您可以高度确信它实际上是一个真正的漏洞,而不是误报。

我们从广泛的来源中发现漏洞。 我们有一群独立的核心安全研究人员,他们在 WordPress、插件或主题中发现漏洞,并将其直接提交给我们。 我们还不断监控社交媒体、论坛、博客、网站和搜索引擎中的某些关键字,这些关键字可能是有人谈论 WordPress 中的安全漏洞。

我们有时也会自己进行独立的安全研究。 例如,我们团队的一名成员最近在 WordPress 核心中发现了一个跨站点请求伪造 (CSRF) 漏洞,该漏洞已被修补。 我们也有一些关于网络监控攻击的蜜罐,这导致我们发现了 0-day 漏洞。

6. 您能否向我们的读者解释一下在发布漏洞之前验证漏洞的过程是什么? 或者您是否遵循任何流程来确保报告的数据有效且正确?

大多数情况下,漏洞报告是否错误是显而易见的。 我们的专家团队通常可以通过阅读建议来判断它在技术上是否正确。 其他时候,这并不容易,我们必须通过安装易受攻击的版本并尝试利用它来手动验证漏洞。

对我们来说花费最多时间的是漏洞分类。 如果只是为了帮助攻击者,我们不想发布有关漏洞的信息。 我们希望确保插件供应商知道该漏洞并在我们将详细信息添加到我们的数据库之前推送了一个补丁。 但是,情况并非总是如此,因为有些供应商要么无法联系到,要么不在乎。 在这种情况下,我们与 WordPress 插件团队密切合作,让他们了解该漏洞,以便他们采取行动保护 WordPress 用户。

为确保此过程透明,我们还制定了公开披露政策,概述了我们如何处理收到的漏洞数据。

7. 根据您目前在 WP 漏洞数据库和 WPScan 项目中看到的情况,您对 WordPress 安全性和安全编码(在插件、主题中)等方面的未来有何看法?

我是一个乐观主义者,我认为情况正在好转。 如今,WordPress 安全性得到了更多关注,并且可用的解决方案也更多。 我认为我们永远不会达到 WordPress 核心、所有插件和所有主题都是 100% 安全的地步,但我确实认为我们可以达到一个地步,即大多数拥有大量安装基础的插件都足够安全. 我们只需要继续努力。

8. 你也有开发背景。 您对 WordPress 插件和主题开发人员的三大秘诀是什么?

  1. 验证用户输入并对用户输出进行编码。 例如,在正确的位置彻底使用 WordPress 的 esc_html()、esc_attr()、esc_url() 函数。
  2. 创建 SQL 查询时始终使用 prepare() 函数。
  3. 在运行危险功能之前,请务必检查用户的能力。

9. 在您看来,WordPress 网站管理员应该采取哪些最重要的事情或安全最佳实践来保护网站并确保其安全?

  1. 更新您的 WordPress 版本、插件和主题。
  2. 安装安全插件。 那里有很多好的,选择一个并使用它。
  3. 使用安全密码。 确保您的密码是唯一且复杂的。 例如,这可以通过密码管理器来实现。

10. 您在 Web 应用程序安全行业有着悠久的历史。 几年前我通过 DVWA 认识了你。 您能否向我们的读者解释一下 DVWA 是什么,以及您开发它的原因?

Damn Vulnerable Web App (DVWA) 是我在大学期间创建的一个开源项目,旨在帮助自己了解 Web 应用程序的安全性。 我认为最好的学习方法是使用真正可利用的示例。 后来在很多人的帮助下,我在网上发布了它,它变得非常流行。 今天它由我的一位老朋友 Robin Wood ( @digininja ) 管理。 因此,如果您在安装它时遇到任何问题,我相信他会很乐意提供帮助。

11. 您可以与喜欢您的人分享任何提示和/或资源,想了解更多关于 WordPress 和应用程序安全性的信息吗?

在我看来,Twitter 是最好的资源之一。 关注一些生活和呼吸这些主题的人,并向他们学习。 我推荐关注的一些人是@tnash@Random_Robbie@Viss ,还有很多其他人需要提及。 还有一个很棒的 Facebook WordPress 安全组非常活跃。 如果您想深入了解 Web 应用程序的安全性,我会推荐 Web Application Hacker's Handbook 这本书。

12. WPScan 项目的未来会是什么样子? 有什么计划?

我们最近重新设计了整个漏洞数据库网站,并在其后端投入了大量精力来管理漏洞。 我们的 WPScan CLI 工具非常稳定,它从 2011 年就已经存在,所以现在几乎不需要改进。 该计划是继续投入时间研究 WordPress、其插件和主题的安全问题,以确保我们的漏洞数据库始终保持最新和准确。 我们还想在我们的 WordPress 安全插件上投入大量精力,我们相信这将有助于我们在 WordPress 生态系统中变得更加知名。

13. 为了帮助激励他人,能否请您多谈谈您的旅程,以及您在职业生涯中遇到的陷阱,以及是什么帮助您度过难关并取得目前的成功?

我在介绍中谈到了这一点,但在这里我将谈谈我在尝试为一些大型科技公司工作时的陷阱。 大学毕业后,我想在一家大型科技公司工作,我认为这会给我的同龄人和家人带来信任。 我在 Mozilla、Facebook、Google 甚至 Automattic(WordPress 的创建者)以及其他公司进行了采访。 尽管我设法通过了面试,但我总是让他们失望,也没有得到工作。 谈论你的失败很难,但我相信如果你坚持自己的梦想,它可以帮助别人看到隧道尽头的光明。

今天,我共同拥有自己的盈利和成功的业务 WPScan。 我采访过的很多失败的公司现在都是我们的客户,就 Automattic 而言,我们非常感谢我们的赞助商。

有时,在生活中,您可能不会走您认为会引导您实现梦想的确切道路。 有时您必须创建自己的人生道路,并为其他人追随您的道路奠定基础。

14. 非常感谢您接受这次采访。 你能告诉我们的读者他们在哪里可以在网上找到你吗?

当然! 我从@ethicalhack3r 发了很多推文,你也可以关注 WPScan 的官方推特账号。