WP Shopify XSS Güvenlik Açığı Hala Sömürülüyor

Bir WordPress sitesi kurduğunuzda, güvenli kalmak için yazılımı güncel tutmanız gerekir. Düzenli yama gerektiren sadece WordPress çekirdeği değil, kullandığınız eklentiler. 2019 yazında, WP Shopify adlı popüler bir eklentinin ciddi bir güvenlik açığı olduğu ortaya çıktı. Yaratıcıları hatayı düzeltti ve güncellenmiş bir sürüm yayınladı, ancak herkes eklentiyi güncellemedi.

Sorun WP Shopify XSS güvenlik açığı olarak bilinir. Saldırganların sayfalara kötü amaçlı JavaScript koymasına veya ziyaretçileri diğer sitelere yönlendirmesine olanak tanır. Siteyi ziyaret edenler garip davranışlar yaşayacak ve kötü amaçlı web sitelerine yönlendirilebilir.

Hala eklentinin eski sürümüne (2.0.5’ten önce) sahip olan ve güçlü web sitesi koruması olmayan tüm siteler ciddi risk altındadır. Quttera WAF tarafından korunan web sitelerinden alınan günlükler analizimiz,% 30’unun güvenlik açığından yararlanmaya çalışan paketler tarafından saldırıya uğradığını göstermektedir. Tam web sitesi koruması, bilinen zayıflıkların düzeltilmesini ve güçlü ağ savunmalarının sürdürülmesini gerektirir.

Siteler arası komut dosyası oluşturma (Cross-site scripting)

Hataları veya haksız reklamlar gibi onaylanmamış üçüncü taraf içeriklerini siteleri siteler arası komut dosyası oluşturma güvenlik açıklarına kodlamak. Üçüncü taraf bir sitedeki JavaScript büyücüde görünür ve yetkisiz eylemler gerçekleştirir.

Bazen davetsiz misafir kodu sadece sayfada bulunarak çalışır. Diğer durumlarda, kullanıcıyı bir bağlantıyı veya düğmeyi tıklatarak etkinleştirmeye yönlendirir. XSS, formlardan bilgi alabilir, sayfanın içeriğini değiştirebilir, kötü amaçlı yazılım indirmeye çalışabilir veya kullanıcıyı başka bir siteye gönderebilir.

Tarayıcı ayarları ve eklentileri, XSS girişimlerine karşı koruma sağlayarak kullanıcıyı bir şeylerin yanlış göründüğü konusunda uyarır. Ancak tüm durumları yakalamazlar ve kullanıcılar uyarıyı yok saymayı seçebilir. Web sitesi sahiplerinin bu durumları önlemek için ellerinden geleni yapmaları gerekir. Site e-ticaret sunuyorsa veya parayı başka şekilde ele alıyorsa, bu iki kat daha önemlidir.

WP Shopify XSS Güvenlik Açığı Hala Sömürülüyor

WP Shopify XSS hatası

WP Shopify, bir WordPress sitesinin Shopify’ı e-ticaret için arka uç olarak sorunsuz bir şekilde kullanmasına izin verir. Shopify’ın API ve Satın Al düğmesini kullanan bir alışveriş sepeti sağlar. WordPress.org, 3000’den fazla sitede etkin olduğunu bildiriyor.

Eklenti bir REST API’sini kullanır, yani istekler bir HTTP arayüzü üzerinden URL yolları biçimindedir. Yollar işlevlerle eşlenir ve bunlardan biri de update_settings () işlevidir. Tahmin edebileceğiniz gibi, yetkili bir kullanıcının eklentinin ayarlarını değiştirmesine izin verir.

Sorun, eklentinin yetkilendirmeyi doğru bir şekilde kontrol etmemesidir. Herkes ayarları bir tarayıcıdan değiştirebilir. Giriş yapmaları bile gerekmiyordu.

Bazı ayarlar kullanıcının snippet’leri sayfalara enjekte etmesine izin verir. Herhangi bir JavaScript içerebilirler.

Bu, eklentinin ve buggy sürümünü kullanan herhangi bir sitenin güvenliğinde gerçekten ciddi bir delik.

Saldırganlar bu hatayı küçük bir JavaScript parçasını sayfaya yapıştırmak için kullanırlar. Daha sonra saldırganın sitesinden içerik indirir ve sayfaya enjekte eder. Davetsiz misafirin peşinde olduğuna bağlı olarak çok çeşitli eylemler mümkündür. Genellikle, komut dosyası yüklenirken çalışacağı sayfa başlığına gider ve kullanıcıyı başka bir siteye götürmeyi amaçlar. Bunlar yöntemlerden bazıları:

  1. Sayfayı yeniden yönlendirmek için location.replace () işlevini çağırın.
  2. DOM’daki document.location veya window.location öğesine yeni bir değer atayın.
  3. Sayfa içeriğini kısa bir gövdeyle değiştirmek ve ardından location.replace () öğesini çağırmak. Bu, kullanıcı bir dakika beklemek için bir istek gördüğünden yönlendirmenin daha meşru görünmesini sağlayabilir.
  4. Sayfa yönlendirmesine neden olacak bir meta yenileme etiketi eklemek.
  5. HTTP yönlendirme kodlarını kullanma.

Eklendikten sonra, kötü amaçlı komut dosyası kaldırılıncaya kadar kullanıcıları yönlendirmeye devam eder. Güvenlik açığı var olduğu sürece, saldırgan kaldırılan komut dosyalarını geri yükleyebilir veya var olan komut dosyalarını değiştirebilir.

WP Shopify Kötü Amaçlı Yazılım Yeniden Yönlendirme Saldırısı Araştırması

Müşteri web sitesinde tespit edilen ve ThreatSign yazılımı ile düzeltilen gerçek enfeksiyona bakalım:

XSS saldırı dökümü aşağıdadır:

WP Shopify XSS Güvenlik Açığı Hala Sömürülüyor

Enjekte edilen JavaScript kodu:

WP Shopify XSS Güvenlik Açığı Hala Sömürülüyor

Trafik yönlendirmesi – 1:

WP Shopify XSS Güvenlik Açığı Hala Sömürülüyor

Trafik yönlendirmesi – 2:WP Shopify XSS Güvenlik Açığı Hala Sömürülüyor

Çözüm

Bu sorun, Ağustos 2019’da yayınlanan 2.0.5 sürümünde giderilmiştir. Sitenizde WP Shopify eklentisi varsa, lütfen sürümünü hemen kontrol edin. Eski bir sürümse, hemen veya mümkün olan en kısa sürede güncelleyin. Düzeltme eklendikten sonra, şüpheli davranışlar için sitenizi kontrol edin.

Birçok site eklentilerini herhangi bir düzenlilikle güncellemez. Sizinki bir ise, büyük ya da belirsiz olması önemli değildir. Suçlular, hassas siteleri arayan otomatik taramalar yapar. Eklentileri güncel tutmak, WordPress web sitesi koruması.

Büyük resimi Görmek

Bunu yapmak basit geliyor. Havada birçok topunuz olduğunda, bir tane bırakmak kolaydır. Güncellemelerin sitenizi bozmayacağını doğrulamak istiyorsunuz. İdeal olarak, canlı yayına geçmeden önce bunları test etmelisiniz. Güncellemeler bazen uyumluluk sorunlarına sahip olabilir veya işlevselliği istenmeyen şekillerde değiştirebilir. Önceden test yapılması mümkün değilse, en azından düşük trafikli zamanlarda eklentileri güncellemek, sorunları izlemek ve gerekirse bunları geri almaya hazır olmak istersiniz. Bu, özellikle birden fazla siteyi yönetiyorsanız karmaşık hale gelir.

Bazen kötü adamlar güvenlik açıklarını keşfeder ve bir düzeltme yapılmadan önce bunlardan yararlanırlar. Shopify eklentisi sorununun genel olarak bilindiği, ancak bir yama bulunmadığı bir dönem vardı. Bazı güvenlik açıkları keşfetmek için büyük ustalık ve sabır gerektirir. Bu açık ve kullanımı kolaydı.

En iyi korunan sitelerin bile güvenlik açığı pencereleri vardır. Bilinen riskleri düzeltmek önemlidir, ancak web sitesi korumasına tam bir yaklaşım değildir. Bazı tehditler geçecek ve sorunu hızlı bir şekilde yakalamak ve kaldırmak için bir sitede anormal davranış taramak gerekir.

Kötü amaçlı paketlerin siteye ulaşmasını engellemek, en son yamalar olmasa bile birçok tehdidin geçmesini önler. Bir web uygulaması güvenlik duvarı (WAF) gelen trafiği izler ve düşman kalıpları arar. Anahtar, saldırganı birden fazla savunmaya maruz kalmaya zorlamaktır, en azından biri zarar vermesini durdurmak için yeterli olacaktır.

Benim önerim Quttera WAF web sitenizi korur.

İyi Çalışmalar.

 

Ali Çömez

Merhabalar, Ben Ali Çömez (Slaweally) Uzun yıllar internet sektöründe zaman geçirdikten sonra tecrübelerimi sizinle paylaşmak için bu bloğu açtım, umarım faydalı olur.

Bu yazı 131 Defa okundu, Beğendiyseniz alttaki benzer yazıları okumanızı öneririm, veya site içinde farklı içerikleri arama yapabilirsiniz.

You may also like...

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir