Конкурс Pentest сайта на WP

Доброго времени суток, Всем!

На общий конкурс по Pentest'у предлагаю сайт tusila.ru
Это детский завлекательно-познавательный сайт который к сожалению имеет ряд уязвимостей, которые не позволяют развивать сайт, так как его постоянно взламывают.

Чтобы кроме соревновательной части была и небольшая материальная часть готов предложить 50 руб за каждую найденную и описанную уязвимость.
Бюджет на уязвимости 3000 руб.
Тому кто лучше всего опишет как закрыть найденные уязвимости отдельная благодарность в размере 2000 руб.
Сайт во время тестирования просьба не DDoSить и не класть.

Выбор и условия конкурса определяют Админы codeby.

Хочу пожелать всем удачи и плодотворного pentest'a.

 

[Rook]

Доброго времени суток, Всем!

На общий конкурс по Pentest'у предлагаю сайт tusila.ru
Это детский завлекательно-познавательный сайт который к сожалению имеет ряд уязвимостей, которые не позволяют развивать сайт, так как его постоянно взламывают.

Чтобы кроме соревновательной части была и небольшая материальная часть готов предложить 50 руб за каждую найденную и описанную уязвимость.
Бюджет на уязвимости 3000 руб.
Тому кто лучше всего опишет как закрыть найденные уязвимости отдельная благодарность в размере 2000 руб.

Выбор и условия конкурса определяют Админы codeby.

Хочу пожелать всем удачи и плодотворного pentest'a.

Бюджетный завуалированный заказ по пентесту))))

 

[zakrush]

его постоянно взламывают

Хотя бы написали что подразумевается под "взламывают".

+ нужны какие то доказательства, что проситель, является владельцем сайта.

P/S: Но за 50 руб. Можно разве что сканер запустить

 

[Сергей Попов]

Бюджетный завуалированный заказ по пентесту))))

Тот случай, когда нет денег, а пентест нужен Расторопные могут получить всю сумму конкурса.

 

[IgoEst]

Тот случай, когда нет денег, а пентест нужен Расторопные могут получить всю сумму конкурса.

Сайт не коммерческий, хочется сделать что-то качественное, интересное и полезное для детей.
Но ломают постоянно... ипо глупости последний backup удалили

Хотя бы написали что подразумевается под "взламывают".

+ нужны какие то доказательства, что проситель, является владельцем сайта.

P/S: Но за 50 руб. Можно разве что сканер запустить

Ссылка скрыта от гостей

WPScan я сам запускал... толку для меня ноль.
А бюджет все-таки не 50 руб, а 5000

 

[zakrush]

На добрых началах 3 язвимости просто посмотрев сайт:
1. Форма восстановления пароля, позволяет брутить пользователей которые есть. Т.е. можно узнать по ответу есть данный пользователь или нет + нет лимитов на попытки, и задержек
2. Админка так же не защищена от брута
3. Вот через эту штуку, можно брутить логин/пароль + DOS делать.
4. Походу старый очень WP. ЕГо надо обновлять, т.к. одна уязвимость, которую я тут в выходные щупал на сайте отрабатывает. (Позволяет смотреть скрытые публикации).

Ссылка скрыта от гостей

Так что с вас 200 руб. даже без запуска сканера

 

[Сергей Попов]

Ссылка "Сменить тему" не работает. Ссылка "форум" не работает. На оригинале сайта так же?

 

[zakrush]

ипо глупости последний backup удалили

Только не говорите, что бэкап лежит рядом с сайтом? Такие вещи надо хранить вообще у отдельного провайдера или на крайняк дома. С дублированием еще в другие места.

Ссылка "Сменить тему" не работает. Ссылка "форум" не работает. На оригинале сайта так же?

На основном работает

 

[IgoEst]

На добрых началах 3 язвимости просто посмотрев сайт:
1. Форма восстановления пароля, позволяет брутить пользователей которые есть. Т.е. можно узнать по ответу есть данный пользователь или нет + нет лимитов на попытки, и задержек
2. Админка так же не защищена от брута
3. Вот через эту штуку, можно брутить логин/пароль + DOS делать.
4. Походу старый очень WP. ЕГо надо обновлять, т.к. одна уязвимость, которую я тут в выходные щупал на сайте отрабатывает. (Позволяет смотреть скрытые публикации).

Ссылка скрыта от гостей

Так что с вас 200 руб. даже без запуска сканера

1. 2. 3. Брут простых пользователей не сильно опасна для сайта так как у них нет прав позволяющие взламывать сайт.
Пароли у админов имеют длинну более 30 символов, что для брута займет очень продолжительное время.
Я думаю codeby как специалист сможет оценить что из 3 пунктов являются рабочими уязвимостями. То что нет лимитов и задержек для брута, это точно уязвимость.
4. WP имеет последную версию. Уязвимость на которую вы указываете не является уязвимостью, так как это не скрытые публикации, а

Ссылка скрыта от гостей

Только не говорите, что бэкап лежит рядом с сайтом? Такие вещи надо хранить вообще у отдельного провайдера или на крайняк дома. С дублированием еще в другие места.

На основном работает

Последний бэкап к сожалению лежал именно "рядом".
Восстановленный сайт, это вроде майский сайт, потерял часть контента сайта.

Ссылка "Сменить тему" не работает. Ссылка "форум" не работает. На оригинале сайта так же?

Эти разделы сейчас не работают.
Как не работают сейчас МОЙ МИР и "МОЙ АВАТАР" для зарегистрированных пользователей.
После взлома в БД нарушли таблицы и часть файлов, пока не восстанавливали виртуальный мир.

 

[zakrush]

4. WP имеет последную версию. Уязвимость на которую вы указываете не является уязвимостью, так как это не скрытые публикации, а

Ссылка скрыта от гостей

Не последнюю. У вас 5.3.2
Создайте скрытый пост, и сделайте запрос, увидите, что данная публикация окажется видна. Это уязвимость.

1. 2. 3. Брут простых пользователей не сильно опасна для сайта так как у них нет прав позволяющие взламывать сайт.
Пароли у админов имеют длинну более 30 символов, что для брута займет очень продолжительное время.

Ок. Т.е. взлом и безопасность пользователей вас не волнует. Отличная позиция.
Про п.3 DOS через

Ссылка скрыта от гостей

вас не смущает? а так же опять же атака на пользователей? У админа сильный пароль, у пользователей не факт. Но через эту штуку можно бесконечно брутить.
Так мы с вами далеко не уедем. Я любую уязвимость могу таким образом оправдать.

Кстати сайт прилег.

ППС: вообще сервер дырка. Может вечером время будет, посмотрю еще предположения, через которые залазят. Но уже торщачий наружу 3306 не очень хорошая практика. И кучу других сервисов.

 

[IgoEst]

Не последнюю. У вас 5.3.2
Создайте скрытый пост, и сделайте запрос, увидите, что данная публикация окажется видна. Это уязвимость.


Ок. Т.е. взлом и безопасность пользователей вас не волнует. Отличная позиция.
Про п.3 DOS через

Ссылка скрыта от гостей

вас не смущает? а так же опять же атака на пользователей? У админа сильный пароль, у пользователей не факт. Но через эту штуку можно бесконечно брутить.
Так мы с вами далеко не уедем. Я любую уязвимость могу таким образом оправдать.

Кстати сайт прилег.

ППС: вообще сервер дырка. Может вечером время будет, посмотрю еще предположения, через которые залазят. Но уже торщачий наружу 3306 не очень хорошая практика. И кучу других сервисов.

1) 5.3.2 это последняя версия WP которая доступна для

Ссылка скрыта от гостей

2) Создал скрытый пост и он действительно отображается. Это уязвимость... +1
3) Считаем 4 уязвимости найденными
4) Странно что сайт ложится, я вроде сижу и не замечаю этого, по нагрузке хостер тоже ничего не видит

Ссылка скрыта от гостей

5) Сайт взламывали с размещением сотен шелов, изменением паролей к БД, рассылке спама по почте и пр.

 

[zakrush]

ППС: видимо какая то защита все таки стоит: типа Fail2ban. Т.к. уже второй IP в бан ушел после начала скана по части сканирования WP. Поэтому сайт и отваливается.

 

[Rook]

1) 5.3.2 это последняя версия WP которая доступна для

Ссылка скрыта от гостей

2) Создал скрытый пост и он действительно отображается. Это уязвимость... +1
3) Считаем 4 уязвимости найденными
4) Странно что сайт ложится, я вроде сижу и не замечаю этого, по нагрузке хостер тоже ничего не видит

Ссылка скрыта от гостей

5) Сайт взламывали с размещением сотен шелов, изменением паролей к БД, рассылке спама по почте и пр.

По-моему вам проще его пересоьрать с нуля потратив 5000р именно на пересборку,с учётом всех уязвимостей. А пока будете собирать по новой,почитать про самые явные и устранить самому. Ну а там вам конечно решать.

 

[IgoEst]

ППС: видимо какая то защита все таки стоит: типа Fail2ban. Т.к. уже второй IP в бан ушел после начала скана по части сканирования WP. Поэтому сайт и отваливается.

Скорее всего это хостер.
На сайте ничего не стоит.

По-моему вам проще его пересоьрать с нуля потратив 5000р именно на пересборку,с учётом всех уязвимостей. А пока будете собирать по новой,почитать про самые явные и устранить самому. Ну а там вам конечно решать.

Разумеется после тестирования я буду заниматься тем чтобы устранить уязвимости.

ППС: видимо какая то защита все таки стоит: типа Fail2ban. Т.к. уже второй IP в бан ушел после начала скана по части сканирования WP. Поэтому сайт и отваливается.

Раньше сайт висел на VDS (ihor.ru) там защиты от скана не было.

 

[zakrush]

Это к тому, что с таким бюджетом и еще какие то сложности со сканированием, ну так себе история. Точно не буду заморачиваться по обходу блокировок во время сканирования.

 

[IgoEst]

Это к тому, что с таким бюджетом и еще какие то сложности со сканированием, ну так себе история. Точно не буду заморачиваться по обходу блокировок во время сканирования.

Хочется верить, что хоть у кого-то будет спортивный интерес

 

[IgoEst]

Это к тому, что с таким бюджетом и еще какие то сложности со сканированием, ну так себе история. Точно не буду заморачиваться по обходу блокировок во время сканирования.

Просканировал WPScan'ном выдал все результаты по сканированию.
Не понятно тогда какие сложности со сканированием?

 

[qwerty_man]

Доброго времени суток, Всем!

На общий конкурс по Pentest'у предлагаю сайт tusila.ru
Это детский завлекательно-познавательный сайт который к сожалению имеет ряд уязвимостей, которые не позволяют развивать сайт, так как его постоянно взламывают.

Чтобы кроме соревновательной части была и небольшая материальная часть готов предложить 50 руб за каждую найденную и описанную уязвимость.
Бюджет на уязвимости 3000 руб.
Тому кто лучше всего опишет как закрыть найденные уязвимости отдельная благодарность в размере 2000 руб.
Сайт во время тестирования просьба не DDoSить и не класть.

Выбор и условия конкурса определяют Админы codeby.

Хочу пожелать всем удачи и плодотворного pentest'a.

Добрый день!

К сожалению, протестировать ваш сайт сейчас нет возможности.

Возможно, что это и бессмысленно и ту уязвимость, через которую что-либо заливали - вы прикрыли с обновлением плагинов (если верить WPscan - последнее wordpress-seo от 4-го февраля).

Также, может быть, что искать снаружи уже бесполезно и какой-нибудь шелл остался внутри, например, вшитый в ядро WP или тему.

Чтобы не допустить последующего взлома, а если он все же случится - установить причину, могу дать следующие рекомендации:

1) Проверьте ядро WP и плагины на изменения.
2) Настройте логи (error_log, access_log), если они не настроены.
3) Ограничьте запуск .php из wp-content/uploads при помощи .htaccess:

<FilesMatch «\.(php|php3|php4|php5|php6|phtml|phps)$|^$»>
Order allow,deny
Deny from all
</FilesMatch>

4) Добавьте recaptcha в contactform7
5) Просканируйте файлы сайта каким-нибудь антивирусным ПО
6) Поставьте какой-нибудь плагин безопасности (WAF)

Пункт 1,5 и 6 можно решить при помощи

Ссылка скрыта от гостей

P.S. А если все же случится повторный взлом - смотрите дату создания/модифицирования файлов, затем, через логи ищите причину. Бывает, что виновником является соседний аккаунт на shared-хостинге и неверно выставленные права хостером/юзером.

P.P.S. И да, как заметил zakrush, WAF все же присутствует. После сканирования wpscan мой ip тоже попал в blacklist.

 

[zakrush]

PS: Советую настроить Firewall на Whitelist IP. Порты которые необходимы убрать, чтобы они не были доступны снаружи.

P.S.S: смотрю ввел капчу на login админа. Но имхо она не работает. Т.е. ни каким образом не мешает мне напрямую слать запросы. Возможно связано с тем, в запросе к капче два слэша. GET /wp-content/plugins/wp-limit-login-attempts//captcha.php

Да и вообще она должна проверяться до отправки логин/пароля а не после.

И еще очень советую настроить Security-headers + в идеале CSRF токены прикрутить к авторизации.

 

[IgoEst]

Добрый день!

К сожалению, протестировать ваш сайт сейчас нет возможности.

Возможно, что это и бессмысленно и ту уязвимость, через которую что-либо заливали - вы прикрыли с обновлением плагинов (если верить WPscan - последнее wordpress-seo от 4-го февраля).

Также, может быть, что искать снаружи уже бесполезно и какой-нибудь шелл остался внутри, например, вшитый в ядро WP или тему.

Чтобы не допустить последующего взлома, а если он все же случится - установить причину, могу дать следующие рекомендации:

1) Проверьте ядро WP и плагины на изменения.
2) Настройте логи (error_log, access_log), если они не настроены.
3) Ограничьте запуск .php из wp-content/uploads при помощи .htaccess:

<FilesMatch «\.(php|php3|php4|php5|php6|phtml|phps)$|^$»>
Order allow,deny
Deny from all
</FilesMatch>

4) Добавьте recaptcha в contactform7
5) Просканируйте файлы сайта каким-нибудь антивирусным ПО
6) Поставьте какой-нибудь плагин безопасности (WAF)

Пункт 1,5 и 6 можно решить при помощи

Ссылка скрыта от гостей

P.S. А если все же случится повторный взлом - смотрите дату создания/модифицирования файлов, затем, через логи ищите причину. Бывает, что виновником является соседний аккаунт на shared-хостинге и неверно выставленные права хостером/юзером.

P.P.S. И да, как заметил zakrush, WAF все же присутствует. После сканирования wpscan мой ip тоже попал в blacklist.

Большое спасибо за рекомендации!
В ближайшее время по всем пунктам буду заниматься.
Антивирусное ПО провайдера нашел одну уязвимость в плагине (видимо плагин было nulled), плагин удалил.

Ссылка скрыта от гостей

Классификация сигнатуры : Эксплуатация уязвимости CMS

<?php if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '...