szczegółowe wyjaśnienie, w jaki sposób napastnicy używają Man-in-the-Middle (MitM) do hakowania witryn WordPress i poświadczeń logowania. Ten artykuł służy wyłącznie celom edukacyjnym.
jak każda inna aplikacja internetowa z formularzem logowania, WordPress przesyła Twoją nazwę użytkownika i hasło w żądaniu HTTP podczas logowania. Domyślnie HTTP nie jest protokołem szyfrowanym. Oznacza to, że o ile Twoja witryna WordPress nie korzysta z HTTPS, komunikacja między tobą a serwerem WWW jest podatna na podsłuchiwanie.
hakerzy o złośliwej intencji mogą łatwo przechwycić i zmodyfikować czysty tekst witryny WordPress (niezaszyfrowany) ruch HTTP. Oczywiście jedną z najciekawszych informacji dla atakującego byłyby poświadczenia administratora WordPress.
oprogramowanie używane do przeprowadzania ataków typu man-in-the-Middle (MitM) jest swobodnie i szeroko dostępne. W tym artykule omówimy kilka rzeczywistych przykładów wykorzystania MitM do przejęcia kontroli nad witryną WordPress. Następnie zaleca jak najlepiej się przed nimi bronić.
- czym jest atak typu man-in-the-Middle (MitM)?
- Jak atakujący wchodzi w środek?
- hakowanie witryn WordPress – kradzież haseł& dane logowania
- kradzież uwierzytelniających plików cookie
- w jaki sposób pliki cookie odnoszą się do uwierzytelniania?
- Ochrona siebie / swojej witryny WordPress przed atakami MitM
- dodatkowe środki ostrożności dotyczące hartowania WordPress
czym jest atak typu man-in-the-Middle (MitM)?
atak typu man-in-the-Middle (MitM) to ogólne określenie ataków, w których haker pozycjonuje się jako pośrednik pomiędzy nadawcą a odbiorcą. Na przykład między przeglądarką a odwiedzaną stroną internetową. Pozwala to atakującemu podsłuchiwać, a w wielu przypadkach również modyfikować treść, gdy jest ona wysyłana i odbierana między dwiema stronami. W większości przypadków, jeśli przechwycą poświadczenia, mogą się zalogować i zhakować Twoją witrynę WordPress.
Jak atakujący wchodzi w środek?
ataki typu man-in-the-Middle (MitM) zazwyczaj (nie zawsze) obejmują atakującego w tej samej sieci lokalnej (LAN) co Ty. Jednym z najczęstszych ataków MitM jest spoofing ARP. Szczegóły dotyczące fałszowania ARP wykraczają poza zakres tego artykułu. Jednak wynik udanego ataku ARP spoofing spowodowałby, że przełącznik sieciowy lub router zostałby oszukany, myśląc, że maszyna atakującego jest twoją maszyną i odwrotnie.
rezultatem tego jest to, że zamiast każdej ze stron wysyłać dane do siebie bezpośrednio, najpierw wysyłają je do atakującego. Aby wszystko wydawało się normalne, atakujący przekazuje ruch do właściwego miejsca docelowego. Daje to jednak atakującemu możliwość wglądu, a nawet modyfikowania zawartości transmisji.
hakowanie witryn WordPress – kradzież haseł& dane logowania
aby zrozumieć, w jaki sposób dane logowania WordPress zostałyby skradzione, spójrzmy najpierw na żądanie HTTP zawierające przesłane dane logowania za pomocą wbudowanych narzędzi programistycznych przeglądarki.
zauważ, że nie jest to atak typu man-in-the-Middle (MitM), ale pomaga to zilustrować, czego szukać później.
przyjrzyjmy się teraz, co osoba atakująca zobaczy podczas kontroli niezaszyfrowanego ruchu HTTP. W tym przykładzie używamy Wireshare, jest darmowym i popularnym narzędziem do analizy sieci.
oprócz kradzieży haseł / poświadczeń WordPress, atakujący może również po prostu ukraść twój uwierzytelniający plik cookie, aby podszywać się pod Ciebie.
HTTP jest protokołem bezpaństwowym. W HTTP serwer nie nadaje żadnego specjalnego znaczenia żądaniom przychodzącym przez to samo gniazdo TCP. Oznacza to, że jeśli nie chcesz wpisywać hasła za każdym razem, gdy żądasz strony, przeglądarka musi przechowywać tymczasowy token. Token ten jest znany jako token sesji. Przeglądarka wysyła ten token automatycznie z każdym żądaniem. Na szczęście przeglądarki mają wbudowany mechanizm do tego — Pliki cookie. Dlatego usunięcie plików cookie przeglądarki spowoduje wylogowanie ze wszystkich stron internetowych.
oznacza to, że atakujący nie potrzebuje nawet twojego hasła, aby się pod Ciebie podszywać. Jedyne, czego potrzebują, to zdobyć token sesji.
Po raz kolejny te same informacje są dostępne dla atakującego w Wireshark.
korzystając z bezpłatnego rozszerzenia przeglądarki, takiego jak edytor plików Cookie, atakujący może łatwo użyć wartości skradzionego pliku cookie w swojej przeglądarce i rozpocząć przeglądanie administratora WordPress tak jak ty.
Ochrona siebie / swojej witryny WordPress przed atakami MitM
ataki typu Man-in-the-Middle, takie jak te pokazane w tym artykule, są bardzo mało wydajne dla atakującego. Zwłaszcza w publicznych lub słabo zabezpieczonych sieciach, takich jak publiczne WiFi. Na szczęście ochrona przed tymi atakami hakerskimi jest bardzo prosta-upewnij się, że włączasz i wymuszasz HTTPS na swojej stronie WordPress.
HTTPS szyfruje ruch między przeglądarką a serwerem. Jeśli atakujący musiał spróbować odczytać zawartość ruchu HTTPS, zobaczy tylko wiele bezsensownego, zniekształconego zaszyfrowanego tekstu.
dodatkowe środki ostrożności dotyczące hartowania WordPress
chociaż bez wątpienia powinieneś włączyć HTTPS na swojej stronie jako pierwszy priorytet, aby udaremnić ataki typu man-in-the-Middle (MitM), poniżej przedstawiono dobre najlepsze praktyki, aby spojrzeć na podparcie.
- Dodaj uwierzytelnianie dwuskładnikowe (2FA), aby zwiększyć bezpieczeństwo mechanizmu uwierzytelniania witryny WordPress
- wymuszaj silne hasła WordPress, aby znacznie utrudnić ataki zgadywania haseł
- utrzymuj dziennik aktywności WordPress, aby monitorować nieautoryzowany dostęp do administratora WordPress
- zainstaluj Monitor integralności pliku WordPress, aby wykryć złośliwe zmiany plików w instalacji WordPress
- Skonfiguruj zaporę WordPress i rozwiązanie zabezpieczające, aby udaremnić typowe ataki aplikacji internetowych.