플러그인의 XSS로 인해 10만 개의 WordPress 웹 사이트가 영향을 받음

5807 단어 xss wordpress webdev

100만 개에 가까운 Word Press 사이트가 크로스 사이트 스크립트를 이용하여 사이트에 방향을 바꾸는 위협 참여자들에게 공격을 당했다.
이러한 공격은 4월 28일 이후 XSS 공격 횟수가 정상 속도의 30배에 달한다고 지적한 위협정보팀이 발견했다.이 팀은 매번 공격할 때마다 같은 유효 하중을 사용하기 때문에 공격 뒤에는 한 명의 참여자만 있다고 주장했다.
유효 로드는 방문자를 리디렉션하고 관리자의 세션을 사용하여 주제의 제목에 Wordpress backdoor을 삽입하는 악성 JavaScript입니다.
XSS 공격이 이곳에서 방향을 바꾸는 데 사용될 경우 더욱 심각한 안전 문제가 발생할 수 있습니다.
"공격자는 XSS의 빈틈을 이용해 사이트에 대한 특권 접근을 얻고 악의적인 자바스크립트 코드를 심어 넣을 수 있다. 이 코드들은 사용자의 데이터를 훔치거나 악의적인 소프트웨어를 전파하거나 악의적인 사이트로 납치할 수 있다. 이 기술은 수천 개의 전자상거래 사이트에 Magecart 공격을 가해 수백만 개의 신용카드 번호를 도난당하는 데 사용되었다."
습격의 규모는 사람을 놀라게 한다.널리 유행하는 워드프레스 악성코드 삭제 서비스WP Hacked Help의 보안 전문가들은 이 악성행위자가 4월 28일까지 몇 차례 소규모 공격을 했을 가능성이 있지만 그 이후 사건 수가 크게 증가해 5월 3일에만 2000만 건이 50여만 개 사이트를 겨냥한 공격을 했다.
Word Press 플러그인은 많은 공격의 초점이었지만 이번 공격은 지금까지 발견된 최대 규모의 공격이었다.
"지난 한 달 동안 우리는 총 24000개의 다른 IP 주소가 900000개 이상의 사이트에 이 공격과 일치하는 요청을 보내는 것을 발견했다."라고 이 팀은 보고했다.

사이트 간 스크립트(XSS)란?
Cross-site scripting (XSS) 또는 크로스 사이트 스크립트는 웹 응용 프로그램에 대한 스크립트 주입 공격으로 이 응용 프로그램은 입력을 받아들이지만 입력을 사용자 브라우저로 되돌리기 전에 데이터를 실행 가능한 코드와 정확하게 분리하지 못한다.
XSS는 어떠한 주입 공격과 마찬가지로 브라우저를 이용하여 유효한 태그와 해커 태그의 사실을 구분하지 않고 수신된 내용만 실행한다.
이 공격은 웹 프로그래밍 언어 사용의 안전 조치인 공동 기원 규칙을 빙빙 돌았다예컨대 화.간단하게 말하면, 이 규칙은 웹 페이지의 모든 요소가 같은 출처에서 온다는 것이다.
만약 강제로 집행하지 않는다면 해커는 자신의 목적을 위해 스크립트를 주입하고 웹 페이지를 수정할 수 있다.예를 들어 그는 데이터를 검색할 수 있다. 이 데이터는 인증을 받은 사용자를 사칭하거나 악성코드를 도입한 후에 브라우저가 실행할 것이다.
여러 보안 제어 기능을 함께 사용할 경우 사이트 간 스크립트의 위협을 최소화하거나 완전히 제거할 수 있습니다.
데이터 입력은 사용자의 입력이 예상 형식과 일치하는지 검증합니다.예를 들어 브라우저 스크립트는 전화번호 필드에 위치가 없습니다.
콘텐츠 보안 정책은 웹 페이지에서 실행하거나 불러올 수 있는 스크립트를 제한합니다.
출력 인코딩은 브라우저에 수신된 일부 문자를 실행 가능한 코드가 아닌 표시 텍스트로 간주한다는 것을 알려 줍니다.
표준 웹 페이지에는 텍스트 HTML 속성, 스크립트 및 스타일시트 등 여러 컨텍스트가 포함됩니다.이 출력 상하문에 있는 모든 것은 악성 스크립트의 유효 부하를 방지하기 위해 서로 다른 문자 인코딩에 의존한다.많은 네트워크 언어프레임워크는 템플릿 엔진을 제공하여 최종 웹 페이지에 포함할 변수 데이터의 출력 상하문을 자동으로 정의할 수 있습니다.
블랙리스트 검증 항목(웹 응용 프로그램 방화벽이 특별히 사용하는 기술)은 스크립트 주입 공격을 방지하는 신뢰할 수 있는 해결 방안이 아니다.본질적으로 블랙리스트는 일반적인 유행이 지났고 완전하지 않은 명단에 의존하는 안전한 응답이다.
아웃바운드 인코딩과 내용 보안 정책은 XSS 공격으로 인한 문제를 해결하는 가장 효과적인 해결 방안이지만, 예상된 출력 상하문에 출력 인코딩을 정확하게 정의하고 CSP 정책을 설정해야 하는 한계도 있다.가능한 한 제한성을 가지도록 하다.
사용자를 성공적으로 이용하여 XSS 공격을 하기 위해서는 공격자가 반드시 사용자로 하여금 행동을 취하도록 유도해야 한다.따라서, 귀하가 그것들의 완전성과 합법성을 확신하지 않으면, 댓글, 이메일, 기타 통신원에 있는 링크나 첨부 파일을 클릭할 때 경계하는 것을 강력히 권장합니다.
설명: 사이트 간 스크립트 반사(XSS)
영향 받는 플러그 인:Page Builder:King Composer – King 주제별로 Page Builder 를 자유롭게 드래그 앤 드롭

플러그인 Slug:kingcomposer

영향 받는 버전: <2.9.5

CVE ID:
CVE-2020-15299

CVSS 점수: 6.1(중등)

CVSS 벡터:
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

전체 패치 버전:
2.9.5

KingComposer는 WordPress 플러그인으로 페이지를 끌어다 놓고 만들 수 있으며, 이를 실현하기 위해 많은 AJAX 조작을 등록했다.플러그인은 AJAX 작업 중 하나를 더 이상 주동적으로 사용하지 않지만, WP admin/admin AJAX에 POST 요청을 보내서 사용할 수 있습니다.동작 매개변수를 kc install online 사전 설정된 php로 설정합니다.
공통 기능 설치 온라인 사전 설정()

$data = isset($_POST['kc-online-preset-data']) ? esc_attr($_POST['kc-online-preset-data']) : '';
$link = isset($_POST['kc-online-preset-link']) ? esc_url($_POST['kc-online-preset-link']) : '';
$link = str_replace( 'http://features.kingcomposer.com/', 'https://kingcomposer.com/presets/', $link);
$callback = '
<script type="text/javascript">
    top.kc.cfg.preset_link = "'.$link.'";
    top.kc.backbone.push(\''.str_replace( "\n", '\'+"\n"+\'', base64_decode($data)).'\');
    top.kc.tools.popup.close_all();
</script>';

echo $callback;

exit;

}
이 함수는 kc online preset 링크의 내용과 kc online preset 데이터 매개 변수에 따라 JavaScript를 나타냅니다.이것은 esc attr와 esc url 함수를 사용했기 때문에 언뜻 보기에는 안전합니다.그러나 불행하게도, 이 단계 이후 kc online preset 데이터 매개 변수의 내용은base64에 의해 디코딩되었습니다.
따라서 공격자가 악성 부하에 대해base64 인코딩을 사용하고 피해자가 kconline 미리 설정된 데이터 파라미터에 이 부하를 포함하는 요청을 보내면 악성 부하는 피해자의 브라우저에서 디코딩하고 실행됩니다.
이 플러그인의 정확한 버전은 공격을 받기 쉬운 기능을 완전히 삭제함으로써 이 문제를 해결했다.
이러한 공격의 목표는 다섯 개의 Word Press 플러그인인데, 그 중 일부 플러그인은 이미 사용을 중지했지만, 일부 사이트 운영자들은 여전히 사용하고 있으며, 이러한 플러그인의 빈틈은 아직 사용자에게 수리되지 않았을 수도 있다.이 구멍들은 이지2맵의 XSS 구멍을 포함한다. 이지2맵은 3000회만 설치된 플러그인으로 2019년 8월 워드프레스 저장소에서 삭제됐지만 현재 공격의 절반 정도다.플러그인 토탈 기부금 중 옵션 업데이트 취약점도 2019년 초 엔바토 시장에서 삭제된 공격 목표다.
Blog Designer는 현재 약 1천개의 설치만 활성 상태이며, XSS 취약점은 2019년 Blog Designer에서 패치했으며, 이 취약점은 2019년 패치됐다.
2018년 말 WP GDPR Compliance의 옵션 업데이트 취약점을 보완했다. 이 취약점은 공격자가 사이트의 메인 URL을 변경할 수 있게 한다. 이 플러그인은 10만 번 설치되었지만 95%의 사용자가 업데이트된 URL을 받았다.
마지막으로 2016년에 고친 신문 XSS의 빈틈을 포함한다.
공개 시간표

2020년 6월 15일 - 보안 전문가 팀이 미수리 발견
새로 복구된 빈틈vulnerabilities in KingComposer plugin을 조사하다.우리는 방화벽 규칙을 발표하여 두 개의 패치를 덮었다
그리고 우리의 고급 사용자들이 고치지 않은 빈틈

2020년 6월 16일
KingComposer 플러그인의 개발자에게 문의하십시오.

2020년 6월 25일

그리고 WordPress 플러그인 팀에 연락해서 이 빈틈을 알아보세요. -2020년 6월 26일 - WordPress 플러그인 팀의 응답
그리고 그들은
KingComposer 플러그인.

2020년 6월 29일 - 개정
KingComposer가 풀려났습니다.

2020년 7월 15일 - 방화벽 규칙이
사용자가 사용할 수 있습니다.

결론
오늘의 블로그 글은 WordPress KingComposer 플러그인의 반사식 크로스 사이트 스크립트(XSS) 빈틈에 대해 토론하고 반사식 XSS 공격이 어떻게 작동하는지에 대한 일반적인 정보를 제공합니다.이 빈틈은 2.9.5 버전에서 완전히 복구되었습니다. 이 버전을 즉시 업데이트하시기를 강력히 권장합니다.
관련 직위:

Reference

이 문제에 관하여(플러그인의 XSS로 인해 10만 개의 WordPress 웹 사이트가 영향을 받음), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://dev.to/blog/100-000-wordpress-sites-affected-due-to-xss-in-plugin-4e47

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

Graphql - Java 실천 (1) - 조회

무인기 비행 장치

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다