專訪 WPScan 創始人 Ryan Dewhurst

已發表: 2021-01-05

Ryan Dewhurst 是一名道德黑客和滲透測試員,多年來致力於幫助 WordPress 社區中的人們改善其網站的安全狀況並保護他們免受惡意攻擊者的侵害。

Ryan 是 WPScan 的創始人,這是一款免費的黑盒 WordPress 安全掃描器,專為安全專業人士和博客維護者編寫,用於測試其網站的安全性。 WPScan CLI 工具目前使用一個包含 21,875 個 WordPress 漏洞的數據庫。

1. 對於那些不認識您的人,請告訴我們您的工作以及您的過去和資歷。

從我記事起,我就對計算機和互聯網感興趣。 我曾經去鄰居家,當時我認識的唯一一個擁有電腦的人,在他的 Windows 95 機器上玩紙牌遊戲。 他甚至無法訪問互聯網,但我很高興與電腦互動。

後來,在我十幾歲的時候,我說服媽媽給我買了我自己的電腦,這一次,我可以上網了! 與來自世界各地的人互動的能力讓我大吃一驚。 雅虎當時很大,他們有一個叫雅虎的服務! 聊天,在該服務中,他們有一個名為“黑客休息室”的聊天室。 我在那個聊天室裡夜以繼日地試圖了解每個人都在談論什麼,木馬、RAT、DoS、通用編程等等。

後來我看到當地大學將開始教授計算機安全道德黑客的本科學位。 我 15 歲時離開學校開始工作,所以沒有任何資格。 該課程的要求至少是三個資格,包括GCSE級別的數學和英語,而我沒有。 所以我立即辭掉了我的低薪工作,並讓自己參加了一個免費的快速大學課程,因為我掙的錢不多,以獲得所需的資格。 即使有資格,我最初也被拒絕參加課程,但我設法找到了老師的電子郵件地址,並給他寫了一個長篇故事,講述我覺得這門課是我一生中唯一想做的事情。 最後,我被錄取了! 四年後,我以一等榮譽完成了這門課程。

在那之後,我在一家滲透測試公司工作,擔任 Web 應用程序安全工程師,在那裡我測試了許多英國頂級企業的安全問題。 我辭掉了這份工作,創辦了自己的滲透測試公司,最終成為了我現在所在的 WPScan。

2. 您多年來一直活躍在 Web 應用程序安全行業。 是什麼讓您對 WordPress 特別感興趣?

我開始寫博客,講述我在安全方面學到的經驗和知識,並且碰巧使用 WordPress 作為我選擇的博客平台。 有一天,我遇到了一個其他人發布的影響 WordPress 的安全漏洞。 當我從事安全工作並自己使用 WordPress 時,我為該漏洞編寫了一個漏洞利用程序,以便在我自己的網站上進行測試。 然後,我開始研究影響 WordPress 的其他安全漏洞,並最終將所有這些知識放入我稱為 WPScan 的工具中。

3. 許多 Web 應用程序安全專家有點看不起 WordPress。 我和很多人談過,他們說他們永遠不會使用 WordPress,或者說它的工作方式有缺陷(例如,插件可以完全訪問所有掛鉤等)。 你對此有何看法?

由於 WordPress 在網絡上使用如此廣泛,因此它是攻擊者的目標。 這導致許多安全研究人員和黑帽黑客在 WordPress 還處於起步階段時就開始研究它。 由於 WordPress 不像今天這樣成熟,因此發現了很多安全問題。 但是今天,相對而言,WordPress 核心是一個非常安全的內容管理系統(CMS)。 現在的問題在於其第三方插件。 它們太多了,這首先是吸引用戶的原因,但是您安裝的每個插件也會給您的網站帶來額外的風險。

但這也越來越好,隨著創新公司的誕生來解決這個問題,根據我的經驗,隨著時間的推移,我們看到 WordPress 插件變得更加安全。 僅僅是由於現在致力於該領域的研究水平和公司。

4. 關於WPScan,有一個開源掃描器、插件、漏洞數據庫等。你能解釋一下這些項目是如何連接在一起的,用戶應該使用哪一個,為什麼?
WPScan 水平標誌
WPScan WordPress 漏洞數據庫將我們所有的服務粘合在一起。 我們所有的其他產品和服務都依賴於數據庫,它們是使用數據並以對我們的用戶有用的方式呈現數據的客戶端。

WPScan CLI 工具是我們的第一款產品,可供非商業用戶免費使用,它從外部角度掃描 WordPress 網站,讓黑客可以看到您的 WordPress 網站。 但是這個工具需要用戶熟悉使用命令行,有時安裝起來並不簡單,這取決於用戶的技術水平。 這個工具真的是為滲透測試人員和開發人員設計的。

WPScan 網站

我們產品系列的最新成員是我們的 WPScan WordPress 安全插件,它更適合您的日常 WordPress 用戶。 您只需從官方 WordPress 存儲庫安裝插件,配置您的 API 令牌,開始運行掃描並開始接收安全通知。 該插件的想法是讓您在黑客有機會利用它們之前了解安全問題。

5. 維護 WordPress 插件、主題和核心漏洞的數據庫需要什麼? 您如何發現新問題,如何維護?

這需要很多工作。 我們輸入數據庫的每個漏洞都是由我們的一位專業 WordPress 安全工程師完成的,因此您可以高度確信它實際上是一個真正的漏洞,而不是誤報。

我們從廣泛的來源中發現漏洞。 我們有一群獨立的核心安全研究人員,他們在 WordPress、插件或主題中發現漏洞,並將其直接提交給我們。 我們還不斷監控社交媒體、論壇、博客、網站和搜索引擎中的某些關鍵字,這些關鍵字可能是有人談論 WordPress 中的安全漏洞。

我們有時也會自己進行獨立的安全研究。 例如,我們團隊的一名成員最近在 WordPress 核心中發現了一個跨站點請求偽造 (CSRF) 漏洞,該漏洞已被修補。 我們也有一些關於網絡監控攻擊的蜜罐,這導致我們發現了 0-day 漏洞。

6. 您能否向我們的讀者解釋一下在發布漏洞之前驗證漏洞的過程是什麼? 或者您是否遵循任何流程來確保報告的數據有效且正確?

大多數情況下,漏洞報告是否錯誤是顯而易見的。 我們的專家團隊通常可以通過閱讀建議來判斷它在技術上是否正確。 其他時候,這並不容易,我們必須通過安裝易受攻擊的版本並嘗試利用它來手動驗證漏洞。

對我們來說花費最多時間的是漏洞分類。 如果只是為了幫助攻擊者,我們不想發布有關漏洞的信息。 我們希望確保插件供應商知道該漏洞並在我們將詳細信息添加到我們的數據庫之前推送了一個補丁。 但是,情況並非總是如此,因為有些供應商要么無法聯繫到,要么不在乎。 在這種情況下,我們與 WordPress 插件團隊密切合作,讓他們了解該漏洞,以便他們採取行動保護 WordPress 用戶。

為確保此過程透明,我們還制定了公開披露政策,概述了我們如何處理收到的漏洞數據。

7. 根據您目前在 WP 漏洞數據庫和 WPScan 項目中看到的情況,您對 WordPress 安全性和安全編碼(在插件、主題中)等方面的未來有何看法?

我是一個樂觀主義者,我認為情況正在好轉。 如今,WordPress 安全性得到了更多關注,並且可用的解決方案也更多。 我認為我們永遠不會達到 WordPress 核心、所有插件和所有主題都是 100% 安全的地步,但我確實認為我們可以達到一個地步,即大多數擁有大量安裝基礎的插件都足夠安全. 我們只需要繼續努力。

8. 你也有開發背景。 您對 WordPress 插件和主題開發人員的三大秘訣是什麼?

  1. 驗證用戶輸入並對用戶輸出進行編碼。 例如,在正確的位置徹底使用 WordPress 的 esc_html()、esc_attr()、esc_url() 函數。
  2. 創建 SQL 查詢時始終使用 prepare() 函數。
  3. 在運行危險功能之前,請務必檢查用戶的能力。

9. 在您看來,WordPress 網站管理員應該採取哪些最重要的事情或安全最佳實踐來保護網站並確保其安全?

  1. 更新您的 WordPress 版本、插件和主題。
  2. 安裝安全插件。 那裡有很多好的,選擇一個並使用它。
  3. 使用安全密碼。 確保您的密碼是唯一且複雜的。 例如,這可以通過密碼管理器來實現。

10. 您在 Web 應用程序安全行業有著悠久的歷史。 幾年前我通過 DVWA 認識了你。 您能否向我們的讀者解釋一下 DVWA 是什麼,以及您開發它的原因?

Damn Vulnerable Web App (DVWA) 是我在大學期間創建的一個開源項目,旨在幫助自己了解 Web 應用程序的安全性。 我認為最好的學習方法是使用真正可利用的示例。 後來在很多人的幫助下,我在網上發布了它,它變得非常流行。 今天它由我的一位老朋友 Robin Wood ( @digininja ) 管理。 因此,如果您在安裝它時遇到任何問題,我相信他會很樂意提供幫助。

11. 您可以與喜歡您的人分享任何提示和/或資源,想了解更多關於 WordPress 和應用程序安全性的信息嗎?

在我看來,Twitter 是最好的資源之一。 關註一些生活和呼吸這些主題的人,並向他們學習。 我推薦關注的一些人是@tnash@Random_Robbie@Viss ,還有很多其他人需要提及。 還有一個很棒的 Facebook WordPress 安全組非常活躍。 如果您想深入了解 Web 應用程序的安全性,我會推薦 Web Application Hacker's Handbook 這本書。

12. WPScan 項目的未來會是什麼樣子? 有什麼計劃?

我們最近重新設計了整個漏洞數據庫網站,並在其後端投入了大量精力來管理漏洞。 我們的 WPScan CLI 工具非常穩定,它從 2011 年就已經存在,所以現在幾乎不需要改進。 該計劃是繼續投入時間研究 WordPress、其插件和主題的安全問題,以確保我們的漏洞數據庫始終保持最新和準確。 我們還想在我們的 WordPress 安全插件上投入大量精力,我們相信這將有助於我們在 WordPress 生態系統中變得更加知名。

13. 為了幫助激勵他人,能否請您多談談您的旅程,以及您在職業生涯中遇到的陷阱,以及是什麼幫助您度過難關並取得目前的成功?

我在介紹中談到了這一點,但在這裡我將談談我在嘗試為一些大型科技公司工作時的陷阱。 大學畢業後,我想在一家大型科技公司工作,我認為這會給我的同齡人和家人帶來信任。 我在 Mozilla、Facebook、Google 甚至 Automattic(WordPress 的創建者)以及其他公司進行了採訪。 儘管我設法通過了面試,但我總是讓他們失望,也沒有得到工作。 談論你的失敗很難,但我相信如果你堅持自己的夢想,它可以幫助別人看到隧道盡頭的光明。

今天,我共同擁有自己的盈利和成功的業務 WPScan。 我採訪過的很多失敗的公司現在都是我們的客戶,就 Automattic 而言,我們非常感謝我們的讚助商。

有時,在生活中,您可能不會走您認為會引導您實現夢想的確切道路。 有時您必須創建自己的人生道路,並為其他人追隨您的道路奠定基礎。

14. 非常感謝您接受這次採訪。 你能告訴我們的讀者他們在哪裡可以在網上找到你嗎?

當然! 我從@ethicalhack3r 發了很多推文,你也可以關注 WPScan 的官方推特賬號。