6.8 Známé zranitelnosti a WordPress
CVE (Common Vulnerabilities and Exposures)
Jde o databázi unikátních identifikátorů přidělených známým zranitelnostem objeveným v softwaru, hardwaru či firmwaru. Například "CVE-2024-53677". Záznam pro CVE může mít stavy: Reserved (byl mu vyhrazen slot), Published (včetně popisu, ovlivněných verzí apod.), případně Rejected (pokud byl záznam následně po bližším zkoumání označen jako neplatný/nebezpečnost neprokázána).
Objevování známých zranitelností (SCA / OSA)
Existuje celá třída procesů známá jako Software Composition Analysis (SCA) nebo Open Source Analysis (OSA). Cílem je zjistit, jestli použité vývojářské knihovny, moduly, či celý operační systém obsahuje zastaralé součásti s registrovanými veřejnými CVE zranitelnostmi.
- Nástroje: Např. Dependency Check, RetireJS, NPM Audit, GitHub Dependabot, apod.
- Databáze: Vývojáři a testeři tyto staré knihovny zjišťují přes databáze National Vulnerability Database (NVD) a testují na ně veřejně dostupné zranitelnosti a exploity.
CWE (Common Weakness Enumeration)
Zatímco CVE ukazuje na konkrétní zranitelnost ve specifickém softwaru, CWE je systém kategorizace – tedy o jaký typ zranitelnosti (hardwaru nebo softwaru) šlo na abstraktní rovině. Jeden typ (jedna CWE) tak může odpovídat desítkám tisíc různých zveřejněných CVE.
- CWE-79: Cross-site Scripting (všeobecné, nebo základní varianty)
- CWE-80, CWE-81, CWE-83, CWE-84: Upřesňující CWE detailní podkategorie pro XSS.
- CWE-74: Injection.
- CWE-20: Improper Input Validation.
Masivní dopad na CMS WordPress
Aplikace a redakční systémy (CMS), jako WordPress, využívají neustále rozsáhlé portfolio pluginů (rozšíření). Vzhledem ke svému masivnímu tržnímu podílu je WordPress jedním z nejzranitelnějších systémů. Na webu jsou denně publikovány nové CVE mířící pouze na specifické doplňky tohoto redakčního systému.
Ke komplexní detekci těchto problémů pentesteři často využívají utilitu s názvem wpscan, která umí zjistit verze jádra i doplňků, zjistit u nich list známých zranitelností, vylistovat uživatele apod.
Ke komplexní detekci těchto problémů pentesteři často využívají utilitu s názvem wpscan, která umí zjistit verze jádra i doplňků, zjistit u nich list známých zranitelností, vylistovat uživatele apod.
Reálný Penetrační Test: Best Practices
V praktickém světě se penetrační test skládá z mnohem více kroků a omezení, než je pouhé stisknutí tlačítka ve skenerech.
- Vždy je potřeba písemné potvrzení majitele o autorizaci testu (Smlouva).
- Volba vhodného prostředí pro testování – typicky blízce odpovídající produkci s reálnými daty.
- Bypass WAF: Často je na dobu testu dobré povolit pentesterovu IP, aby nemusel bojovat jen proti bezpečnostní bráně a aby prověřil především aplikaci jako takovou. Odborníci také vkládají domény typu Burp Collaborator do whitelistu.
- Mít zavedený krizový kontakt na technický tým pro případ nechtěného shození infrastruktury.
- Získání sady uživatelských testovacích pověření pro plnohodnotné pokrytí a otestování vertikálních/horizontálních eskalací privilegií a IDOR zranitelností.
Skener (DAST) nebo lidský mozek?
Nelze plně spoléhat jen na automatizované DAST nátroje! Lidský mozek dokáže provést logickou vazbu aplikovaných procesů. Skener vám napíše varování o možném SQLi a zbytek nechá na vás (pokud se netrefí, vznikají False Positives). U mnoha testovacích vektorů – např. Business Logic Zranitelností či IDOR – je automatický nástroj krátký a útočník/tester tam musí dumat logicky a kontextově vkládat neověřené stavy požadavků. Vhodné je umět nástroje jako Burp Suite doplnit, např. využívat Burp Extensions jako Param Miner, Hackvertor, Active Scan++, HTTP Request Smuggler, Token Jar a pro silnou efektivitu vytvářet vlastní scripty a "Bambdas" skripty, nezřídka s dopomocí AI asistentů.