WPScanの創設者であるRyanDewhurstへのインタビュー

公開: 2021-01-05

Ryan Dewhurstは、WordPressコミュニティの人々がウェブサイトのセキュリティ体制を改善し、悪意のある攻撃者から保護するのを支援することに長年専念してきた倫理的なハッカーおよび侵入テスターです。

Ryanは、セキュリティの専門家やブログのメンテナがサイトのセキュリティをテストするために作成された、無料のブラックボックスのWordPressセキュリティスキャナーであるWPScanの創設者です。 WPScan CLIツールは現在、21,875のWordPress脆弱性のデータベースを使用しています。

1.あなたを知らない人のために、あなたが何をしているのか、そしてあなたの過去と資格について少し教えてください。

私は覚えている限り、コンピューターとインターネットに興味を持っていました。 私はかつて近所の家に行って、当時コンピューターを所有していることを知っていた唯一の人で、彼のWindows95マシンでソリティアをプレイしていました。 彼はインターネットにアクセスすることさえできませんでしたが、私はコンピューターと対話するだけで幸せでした。

その後、10代の頃、私は母に自分のコンピューターを購入するように説得しました。今回はインターネットにアクセスできます。 世界中の人々と交流する能力は私の心を吹き飛ばしました。 当時のYahooは大きく、Yahoo!というサービスがありました。 チャット、そしてそのサービスで彼らは「ハッカーズラウンジ」と呼ばれるチャットルームを持っていました。 私はそのチャットルームで夜を過ごし、誰もが話していること、トロイの木馬、RAT、DoS、一般的なプログラミングなどについて学びました。

後年、地元の大学がコンピュータセキュリティの倫理的ハッキングの学士号を教え始めようとしているのを見ました。 私は15歳のときに学校を卒業して働き始めたので、これまで資格がありませんでした。 コースの要件は、GCSEレベルの数学と英語を含む少なくとも3つの資格でしたが、私は持っていませんでした。 それで、私はすぐに低賃金の仕事を辞め、必要な資格を取得するために、私はあまりお金を稼いでいなかったので無料だったファストトラック大学のコースを受講しました。 資格があっても、最初はコースへの参加を拒否されましたが、先生のメールアドレスを見つけて、このコースが人生でやりたいことだけだと感じたという長い話を書くことができました。 そしてついに、私はコースに受け入れられました! 4年後、私は一流の栄誉でコースを修了しました。

その後、私はWebアプリケーションのセキュリティエンジニアとして、浸透性のあるテスト会社に就職しました。そこでは、セキュリティの問題について英国のトップ企業の多くをテストしていました。 私はこの仕事を辞めて、自分の侵入テスト会社を立ち上げ、最終的にはWPScanを立ち上げました。

2.あなたは何年もの間Webアプリケーションセキュリティ業界で活躍しています。 WordPressに特に興味を持ったきっかけは何ですか?

私は自分の経験やセキュリティについて学んだことについてブログを書き始め、たまたまブログプラットフォームの選択肢としてWordPressを使用しました。 ある日、WordPressに影響を与える他の誰かが投稿したセキュリティの脆弱性に遭遇しました。 私はセキュリティで働いていて、自分でWordPressを使用していたので、自分のWebサイトでテストする脆弱性のエクスプロイトを作成しました。 次に、WordPressに影響を与える他のセキュリティ上の弱点のうさぎの穴から始め、最終的にこの知識のすべてをWPScanと呼ばれるツールに入れました。

3.多くのWebアプリケーションセキュリティの専門家は、WordPressを軽蔑しています。 私は、WordPressを決して使用しない、またはその動作方法に欠陥がある(たとえば、プラグインがすべてのフックに完全にアクセスできるなど)と言う多くの人に話しました。 それについてどう思いますか?

WordPressはWebで非常に広く使用されているため、攻撃者にとってはジューシーな標的です。 これは、WordPressがまだ初期段階にあったときに、多くのセキュリティ研究者やブラックハットハッカーがWordPressを調査することにつながりました。 WordPressは今日ほど成熟していなかったため、多くのセキュリティ問題が見つかりました。 しかし今日、比較的言えば、WordPressコアは非常に安全なコンテンツ管理システム(CMS)です。 最近の問題は、サードパーティのプラグインにあります。 それらは非常に多く、そもそもユーザーを引き付けるものですが、インストールするすべてのプラグインは、Webサイトに余分なリスクをもたらします。

しかし、これも改善されており、この問題に取り組むために革新的な企業が設立されています。私の経験から、時間の経過とともに、WordPressプラグインの安全性が向上していることがわかります。 単に現在この分野に専念している研究と企業のレベルのためです。

4. WPScanに関しては、オープンソーススキャナー、プラグイン、脆弱性データベースなどがあります。これらのプロジェクトがどのように接続されているか、ユーザーはどちらを使用する必要があるのか​​、またその理由を教えてください。
WPScan水平ロゴ
WPScan WordPress脆弱性データベースは、すべてのサービスを結び付けるものです。 他のすべての製品とサービスはデータベースに依存しており、それらはデータを消費し、ユーザーにとって有用な方法でデータを提示するクライアントです。

WPScan CLIツールは、非営利ユーザーが無料で使用できる最初の製品であり、WordPress Webサイトを外部の視点からスキャンして、ハッカーがWordPressWebサイトを表示できるようにします。 ただし、このツールでは、ユーザーがコマンドラインの使用に精通している必要があり、ユーザーの技術レベルによっては、インストールが簡単でない場合があります。 このツールは、実際に侵入テスターと開発者向けに設計されています。

WPScanのWebサイト

当社の製品ファミリーに新しく追加されたのは、WPScan WordPressセキュリティプラグインです。これは、日常のWordPressユーザー向けに設計されています。 公式のWordPressリポジトリからプラグインをインストールし、APIトークンを構成し、スキャンの実行を開始し、セキュリティ通知の受信を開始するだけです。 プラグインのアイデアは、ハッカーがセキュリティの問題を悪用する前に、セキュリティの問題を認識させることです。

5. WordPressプラグイン、テーマ、コアの脆弱性のデータベースを維持するには何が必要ですか? 新しい問題をどのように見つけ、どのように維持されていますか?

大変な作業が必要です。 私たちがデータベースに入力するすべての脆弱性は、WordPressの専門セキュリティエンジニアの1人によって行われているため、実際には実際の脆弱性であり、誤検知ではないことを確信できます。

さまざまなソースから脆弱性を見つけます。 WordPress、プラグイン、またはテーマの脆弱性を見つけて直接提出する、独立したハードコアセキュリティ研究者のグループがいます。 また、ソーシャルメディア、フォーラム、ブログ、ウェブサイト、検索エンジンで、WordPressのセキュリティの脆弱性について話している可能性のある特定のキーワードを常に監視しています。

また、独自のセキュリティ調査を行うこともあります。 たとえば、私たちのチームのメンバーは最近、WordPressコアにクロスサイトリクエストフォージェリ(CSRF)の脆弱性を発見しましたが、その後パッチが適用されています。 また、Web監視攻撃には多くのハニーポットがあり、ゼロデイ脆弱性を発見することになりました。

6.脆弱性を公開する前に、脆弱性を検証するプロセスを読者に説明していただけますか? または、報告されたデータが有効で正しいことを確認するために従うプロセスはありますか?

ほとんどの場合、脆弱性レポートが偽であるかどうかは明らかです。 私たちの専門家チームは通常、アドバイザリを読むだけで、それが技術的に正しいかどうかを判断できます。 また、それほど簡単ではない場合もあります。脆弱なバージョンをインストールして悪用しようとすることで、脆弱性を自分で手動で確認する必要があります。

私たちにとって最も時間がかかるのは、脆弱性のトリアージです。 攻撃者を支援するだけの場合は、脆弱性に関する情報を公開したくありません。 データベースに詳細を追加する前に、プラグインベンダーが脆弱性を認識し、パッチをプッシュしていることを確認する必要があります。 ただし、一部のベンダーは連絡が取れないか、気にしないため、これが常に当てはまるとは限りません。 その場合、WordPressプラグインのチームと緊密に連携して脆弱性を認識させ、WordPressユーザーを保護するための措置を講じることができます。

このプロセスの透明性を確保するために、受け取った脆弱性データの処理方法を概説した公開ポリシーもあります。

7. WP脆弱性データベースとWPScanプロジェクトでこれまでに見たものに基づいて、WordPressのセキュリティと安全なコーディング(プラグイン、テーマ)などの将来についてどう思いますか?

私は楽観主義者で、状況は良くなっていると思います。 最近では、WordPressのセキュリティにさらに重点が置かれ、さらに多くのソリューションが利用可能になっています。 WordPressコア、すべてのプラグイン、すべてのテーマが100%安全になるとは思いませんが、インストールベースが大きいプラグインのほとんどが十分に安全になると思います。 。 私たちはそれを削り続ける必要があります。

8.開発のバックグラウンドもあります。 WordPressプラグインとテーマ開発者へのあなたのトップ3のヒントは何ですか?

  1. ユーザー入力を検証し、ユーザー出力をエンコードします。 たとえば、WordPressのesc_html()、esc_attr()、esc_url()を使用して、適切な場所で完全に機能します。
  2. SQLクエリを作成するときは、常にprepare()関数を使用してください。
  3. 危険な機能を実行する前に、必ずユーザーの能力を確認してください。

9.あなたの意見では、WordPressサイト管理者がサイトを保護して安全に保つために行うべき3つの最も重要なこと、またはセキュリティのベストプラクティスは何ですか?

  1. WordPressのバージョン、プラグイン、テーマを最新の状態に保ちます。
  2. セキュリティプラグインをインストールします。 そこにはたくさんの良いものがあります、1つを選んでそれを使ってください。
  3. 安全なパスワードを使用してください。 パスワードが一意で複雑であることを確認してください。 これは、たとえばパスワードマネージャーを使用して実現できます。

10.Webアプリケーションセキュリティ業界で長い歴史があります。 DVWAを通じて数年前にあなたのことを知りました。 DVWAとは何か、なぜそれを開発したのかを読者に説明していただけますか?

Damn Vulnerable Web App(DVWA)は、大学在学中にWebアプリケーションのセキュリティについて自分自身を学ぶために作成したオープンソースプロジェクトでした。 学ぶための最良の方法は、実際に利用可能な例を使用することだと思いました。 後で他の人の助けを借りてオンラインでリリースし、非常に人気がありました。 今日、それは私の古くからの友人であるRobin Wood( @digininja )によって管理されています。 したがって、インストールで問題が発生した場合は、彼が喜んでサポートしてくれると確信しています。

11. WordPressとアプリケーションのセキュリティについてもっと知りたい、あなたが好きな人に共有できるヒントやリソースはありますか?

Twitterは私の意見では最高のリソースの1つです。 それらのトピックを生きて呼吸し、それらから学ぶ何人かの人々をフォローしてください。 私がフォローすることをお勧めする人の中には、@ tnash@ Random_Robbie@ Vissがあり、他にもたくさんの人が言及しています。 非常に活発な素晴らしいFacebookWordPressセキュリティグループもあります。 Webアプリケーションのセキュリティについて詳しく知りたい場合は、Webアプリケーションハッカーのハンドブックをお勧めします。

12. WPScanプロジェクトの将来はどのように見えますか? 計画は何ですか?

最近、脆弱性データベースのWebサイト全体を再設計し、脆弱性を管理するためにそのバックエンドに多大な労力を費やしました。 WPScan CLIツールは非常に安定しており、2011年から使用されているため、現在はほとんど改善する必要がありません。 計画は、WordPress、そのプラグイン、およびテーマのセキュリティ問題の調査に引き続き時間を費やし、脆弱性データベースが常に最新かつ正確に保たれるようにすることです。 また、今後はWordPressセキュリティプラグインに多大な努力を払いたいと考えています。これにより、WordPressエコシステムでの知名度が上がると確信しています。

13.他の人に刺激を与えるために、あなたの旅についてもう少し、そしてあなたのキャリアを通して遭遇した落とし穴について、そしてあなたが現在の成功を乗り越えて達成するのに何が役立ったかについてもう少し教えてください。

これについては紹介で少し話しましたが、ここでは、いくつかの大手テクノロジー企業で働くことを試みる際の落とし穴について説明します。 大学卒業後、私は大規模なテクノロジー企業で働きたいと思っていました。これにより、同僚や家族に信頼を与えることができると思いました。 私はMozilla、Facebook、Google、さらにはAutomattic(WordPressの作成者)などにインタビューしました。 そして、なんとか面接を上陸させましたが、私はいつも彼らに失敗し、仕事を提供されることはありませんでした。 あなたの失敗について話すのは難しいですが、あなたが夢を持ち続けるならば、トンネルの終わりに光があることを他の人が見るのを助けることができると私は信じています。

今日、私は自分の収益性の高い成功したビジネスであるWPScanを共同所有しています。 私がインタビューして失敗した多くの企業が今では私たちのクライアントであり、Automatticの場合は私たちのスポンサーであり、私たちは非常に感謝しています。

人生の中で時々、あなたはあなたがあなたの夢にあなたを導くと思う正確な道を歩かないかもしれません。 時にはあなたは人生の中であなた自身の道を作り、他の人があなたに従うための土台を築かなければなりません。

14.このインタビューをありがとうございました。 オンラインでどこであなたを見つけることができるかを読者に教えてもらえますか?

もちろん! @ ethicalhack3rからたくさんツイートしていますが、WPScanの公式Twitterアカウントをフォローすることもできます。