开发者社区> 玄学酱> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

犯罪分子瞄准WordPress REST API漏洞进行网络黑产活动

简介: 本文讲的是犯罪分子瞄准WordPress REST API漏洞进行网络黑产活动,1月26日,WordPress 释放安全更新 WordPress 4.7.2,修复了 4 个安全漏洞
+关注继续查看
本文讲的是犯罪分子瞄准WordPress REST API漏洞进行网络黑产活动1月26日,WordPress 释放安全更新 WordPress 4.7.2,修复了 4 个安全漏洞:
向所有用户(包括没有权限的用户)显示分配分类术语(assigning taxonomy terms)用户界面;
WP_Query 容易受到 SQL 注入攻击,已强化插件和主题在这方面的漏洞;
文章列表中存在跨站脚本(XSS)漏洞;
REST API 端点存在未经身份验证的权限提升漏洞。

其中REST API 端点的权限提升漏洞,允许未经过身份验证的访问(通过 API)查看、编辑、删除和创建文章及页面,危害极大。不可避免地,网络犯罪分子也瞄准了这一“风口”,尝试攻击未使用4.7.2修复REST API漏洞的WordPress站点获利。

 犯罪分子瞄准WordPress REST API漏洞进行网络黑产活动

虽然已经有超过100万网站被篡改,但是研究人员现在发现一些破坏行为会留下一个连接流氓医药网站的链接,试图欺骗用户购买药物或通过网络钓鱼的方式诱骗获取他们的信用卡信息。

攻击者试图利用运行在WordPress平台上的网站,而这些网站均没有更新到安全版本。SiteLock的研究人员预计,大约有20名非法攻击者参与到此次“利润瓜分的活动中”,有些人多次篡改网站,有时候会删除其他犯罪分子留下的链接和钓鱼信息,然后换上自己的链接和信息。 

犯罪分子瞄准WordPress REST API漏洞进行网络黑产活动

SiteLock公司的Logan Kipp表示,执行这些活动是非常容易的,成本也很低。我们发现差不多有20个不同的攻击者在不断争夺其控制和覆盖的范围。

篡改网站一开始主要是黑客之间进行吹嘘越轨的行为,但是很快地开始演变成“利益驱动”的攻击行为。

Kipp称,

当犯罪分子试图让用户访问流氓药店网站,进而获取用户信用卡信息的时候,我才第一次意识到有人在利用漏洞进行金钱收益。

REST API漏洞是由国外Web安全公司Sucuri发现并披露的,它提供了一组易于使用的HTTP端点,可以使用户以简单的JSON格式访问网站的数据,包括用户,帖子,分类等。检索或更新数据与发送HTTP请求一样简单。

Sucuri表示,自从该漏洞细节公开后,攻击范围不断扩大,最近每天趋于3000次。

犯罪分子瞄准WordPress REST API漏洞进行网络黑产活动

 【利用REST API漏洞尝试次数】(来源:Sucuri)

去年12月份,研究人员在WordPress 4.7中发现REST API端点漏洞,并在本月早些时候得到修补。因为WordPress默认开启自动更新工具包程序,所以大多数已经安装了安全更新。仍存的部分未修复网站依然处于威胁之中,SiteLock估计,脆弱网站大约占据所有WordPress网站的15%—20%左右。

根据Sucuri早前发布的报告显示,Wordpress REST API漏洞造成至少超过67000个网站被攻击,而发起攻击的主要来自以下4个团队:

犯罪分子瞄准WordPress REST API漏洞进行网络黑产活动

Kipp表示,该漏洞会在较短的时间内得到修复,对大多数已经进行安全更新的用户并无影响,并建议所有使用WordPress的网站主及时更新至最新版本v4.7.2。避免由于REST API的安全问题,导致网站被搜索引擎屏蔽。




原文发布时间为:2017年2月25日
本文作者:小二郎
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
利用MySQL一次性创建下个月的表格——存储过程实战
利用MySQL一次性创建下个月的表格——存储过程实战
10 0
PostgreSQL通过DBLINK执行存储过程创建表
在A服务器创建存储存储过程CREATE OR REPLACE FUNCTION "public"."crt_tab"() RETURNS "pg_catalog"."int4" AS $BODY$declare str_sql varchar(100);ret int;begincreate ta...
1608 0
通过存储过程进行分页查询的SQL示例
--创建人:zengfanlong --创建时间:2014-7-28 10:51:15 --说明:根据公司简写代码获取当前待同步的气瓶档案数据(分页获取) ALTER PROCEDURE [UP_GasBottles_GetSyncData_ByPage] ( @C...
670 0
SQL查询表和存储过程创建修改日期
  查询建立时间 --表select * from sysobjects where id=object_id(N'表名') and xtype='U'  --表的结构   select * from syscolumns where id=object_id(N'表名')     --存储过程...
720 0
PS网页设计教程I——在Photoshop中创建时尚多彩的wordpress布局
作为编码者,美工基础是偏弱的。我们可以参考一些成熟的网页PS教程,提高自身的设计能力。套用一句话,“熟读唐诗三百首,不会作诗也会吟”。 本系列的教程来源于网上的PS教程,都是国外的,全英文的。本人尝试翻译这些优秀的教程。
900 0
.NET调用osql.exe执行sql脚本创建表和存储过程
文章出处:http://wenjl520.cnblogs.com/  或  http://www.cnblogs.com/using System;using System.Diagnostics;using System.
741 0
MySQL 如何查看表的存储引擎
MySQL 如何查看表的存储引擎   在MySQL中如何查看单个表的存储引擎? 如何查看整个数据库有那些表是某个特殊存储引擎,例如MyISAM存储引擎呢?下面简单的整理一下这方面的知识点。   如果要查看单个表的存储引擎,可以用show create table命令查看该表的存储引擎,那么有下面一些...
986 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
20683
文章
438
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载