FAQ

Najczęściej zadawane pytania i odpowiedzi.

Czy mogę używać Nessusa w pracy?

Tak, poniżej informacje na ten temat ze strony Tenable:

• Nessus® Essentials jest darmowy do skanowania dowolnego środowiska, ale jest ograniczony do 16 adresów IP na skaner. Jest idealny dla nauczycieli, studentów i każdego, kto zaczyna swoją przygodę z cyberbezpieczeństwem.
• Nessus® Professional jest licencjonowany z roczną subskrypcją i jest przeznaczony do użytku w środowisku pracy. Obejmuje ona możliwość skanowania nieograniczonej liczby adresów IP, przenośne użytkowanie w dowolnym miejscu oraz zaawansowane funkcje, takie jak ocena konfiguracji, wyniki na żywo i niestandardowe raportowanie. Jest to idealne rozwiązanie dla konsultantów, pentesterów i osób zajmujących się bezpieczeństwem.

Źródło (en): tenable.com > Nessus General Questions > Can I use Nessus at work?

Skąd w ogóle wiadomo, że korzystam z WordPress’a?

Każdy może to sprawdzić w bardzo prosty sposób!

1. Przejdź na stronę https://oit.is
2. Wklej adres Twojej strony w pole Enter a website URL i kliknij w przycisk Detect WordPress.

3. Powinieneś zobaczyć poniższy komunikat

   ✅ Yes, [address Twojej strony] is a WordPress website.

Jak atakujący może dowiedzieć się z jakiej wersji WordPress’a korzystam?

W większości przypadków każdy może to sprawdzić w bardzo prosty sposób.

1. Otwórz swoją stronę w dowolnej przeglądarce, np. Chrome.
2. Kliknij w jej dowolnym miejscu prawym przyciskiem myszy i wybierz z menu kontekstowego Inspect.
3. Naciśnij kombinację klawiszy CTRL + F (Windows) lub CMD + F (macOS)

4. Wpisz słowo generator, Twoim oczom powinien ukazać się znacznik z Twoją wersją WordPress’a (przykład poniżej).

   <meta name="generator" content="WordPress 4.1.1">
   

5. Jeżeli prowadzisz bloga na swojej stronie tam również można znaleźć informację z jakiej wersji WordPress’a korzystasz. Wystarczy, że w przeglądarce Chrome otworzysz adres swojego kanału RSS a zobaczysz go w formacie XML. > 💡 Adres Twojego kanału to najprawdopodobniej adres Twojej strony z dopiskiem /feed/

6. Naciśnij kombinację klawiszy CTRL + F (Windows) lub CMD + F (macOS)
7. Wpisz słowo generator, Twoim oczom powinien ukazać się znacznik z Twoją wersją WordPress’a (przykład poniżej).

   <generator>https://wordpress.org/?v=5.3.4</generator>
   

WordPress może również dodawać informacje o wersji w innych miejscach na Twojej stronie, np. na końcu plików CSS i JS: css?ver=5.3.4 js?ver=5.3.4

Skąd atakujący wie, że moja strona ma jakieś podatności?

Każdy może to sprawdzić w bardzo prosty sposób.

Mając informację o dokładnej wersji z jakiej korzystasz. Bazując na powyższych przypadkach np. WordPress 4.1.1 lub WordPress 5.3.4 atakujący nie musi nawet wykonywać skanu za pomocą dedykowanych narzędzi, aby wykryć podatności na Twojej stronie. Wystarczy, że otworzy np. poniższe adresy, aby zobaczyć długą listę podatności.

• https://wpscan.com/wordpress/411/
• https://wpscan.com/wordpress/534/

Poziom zagrożenia podatności sklasyfikowany jest od najniższego do najwyższego (niski, średni, wysoki lub krytyczny). Im wyższa klasyfikacja tym gorzej - atakujący najprawdopodobniej będzie w stanie taką podatność wykorzystać szybciej lub jej wykorzystanie może doprowadzić do poważniejszych problemów.

Mój WordPress nie ma żadnych podatności, czy mam się czego obawiać?

Sprawdziłeś na stronie WPScan, WordPress, z którego korzystasz nie ma podatności więc nie masz czego się obawiać? To zależy:

1. Załóżmy, że masz wersję WordPress 6.3.2
2. Potwierdzasz na stronie https://wpscan.com/wordpress/632/
3. Zgadza się. Super.
4. Zajrzyj na oficjalną stronę WordPress’a https://pl.wordpress.org/download/releases/
5. Tutaj znajdziesz informację o ostatniej dostępnej wersji, czyli WordPress 6.4.3

6. Przeczytaj rekomendację zespołu WordPress, znajdującą się na środku strony:

   Uwaga

   Żadna z wersji WordPress’a nie jest bezpieczna w użyciu, z wyjątkiem najnowszej z serii 6.4, która jest aktywnie utrzymywana.

Mam najnowszego WordPress’a, nie ma żadnych podatności, czy mam się czego obawiać?

Nie koniecznie. Jeżeli regularnie nie wykonujesz aktualizacji WordPress’a to Twoja strona może być przez pewien czas podatna. Dlatego zalecam Ci ukrycie wersji WordPress’a.

Nie słyszałem o żadnych atakach. Co grozi mojej stronie/firmie?

Poniżej znajdziesz kilka przykładów tego jak atakujący może wykorzystać podatności na Twojej stronie. Najistotniejsze kwestie są oznaczone na czerwono.

Atakujący może uzyskać nazwę konta i hasło administratora

Lukę tę można wykorzystać do odczytania bazy danych WordPress’a a w rezultacie do uzyskania nazwy konta i hasła administratora.

Stopień zagrożenia: wysoki (4/5)

Podatne: WordPress < 5.8.3

CVE-2022-21661

Szczegóły:

• https://wpscan.com/vulnerability/7f768bcf-ed33-4b22-b432-d1e7f95c1317/
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21661/

Atakujący może uzyskać dostęp do prywatnych lub roboczych wersji postów.

Luka ta może pozwolić nieuwierzytelnionym użytkownikom na przeglądanie prywatnych lub roboczych postów, które w normalnych okolicznościach nie powinny być widoczne.

Stopień zagrożenia: krytyczny (5/5)

Podatne: WordPress ≤5.2.3

CVE-2019-17669, CVE-2019-17670

Szczegóły:

• https://wpscan.com/vulnerability/26a26de2-d598-405d-b00c-61f71cfacff6/
• https://wpscan.com/blog/wordpress-5-2-4-security-release-breakdown/
• https://wordpress.org/news/2019/10/wordpress-5-2-4-security-release/
• https://nvd.nist.gov/vuln/detail/CVE-2019-17669
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17669/
• https://nvd.nist.gov/vuln/detail/CVE-2019-17670
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17670/

Atakujący może zablokować Twoją stronę (tzw. Denial of Service)

Nieodpowiednia konfiguracja WordPress’a np. pozwolenie na dodawanie komentarzy każdemu niezarejestrowanemu użytkownikowi może doprowadzić do blokady Twojej strony.