Brute Force уразливість в WordPress
23:53 20.03.2012В WordPress є чимало уразливостей, які існують з версії 2.0, а то і з 1.х версій, і які не виправлені до сих пір. Ще одна уразливість, про яку мені відомо вже давно (і багато років я планував про неї написати) - це Brute Force через XML-RPC функціонал в WP.
Раніше я вже писав про уразливості в WordPress - це Full path disclosure, Content Spoofing та Cross-Site Scripting уразливості через TinyMCE та flvPlayer.
Brute Force:
http://site/xmlrpc.php
В даному функціоналі немає захисту від Brute Force атак. При відправці відповідних POST-запитів можна виявити пароль.
Уразливі WordPress 3.3.1 і попередні версії.
Зазначу, что починаючи з WordPress 2.6 XML-RPC функціонал відключений за замовчуванням. Розробники WP зробили це в зв’язку з уразливостями (такими як SQL Injection та іншими), що були виявлені в цьому функціоналі, тобто не мотивуючи це як протидію Brute Force, але це в тому числі спрацювало як захист від Brute Force атак.
І відповідно ця проблема не стосується тих, хто використовує WordPress починаючи з версії 2.6 з налаштуванням за замовчуванням. А ось для тих, кому потрібно використовувати XML-RPC, ті будуть мати Brute Force уразливість, тому що розробники не зробили дієвого захисту від неї.
Раніше в 2008 та 2010 роках я вже писав про Brute Force уразливості в WordPress і це ще одна подібна уразливість. Окрім них також відомою є BF атака не через форму логіна, а з використанням авторизаційного кукіса (коли підсовуючи різні кукіси можна підібрати пароль).
Існують плагіни для WordPress, що захищають від BF атак через форму логіна (а деякі також і від BF атак через кукіси). Але жоден плагін не захистить від даної атаки через XML-RPC та від раніше згаданої атаки на запаролені записи і сторінки.