워드프레스 4.7.3 업데이트 (보안)

[ 이글은 2017년 05월 08일에 최종 수정되었습니다. ]
§

4.7.3 은 4.7.2 업데이트처럼 매우 중요한 보안 업데이트는 아니지만, 미디어 파일과 유튜브 비디오 url 에 악성코드를 심어 XSS 와 CSRF 기법으로 사이트가 해킹 될수 있는 취약점을 보완한 업데이트 입니다.

자동 업데이트 하시던가, 여기서 다운받으실 수 있습니다.

미디어 파일의 metadata 에 어떻게 악성코드가 심어질 수 있는가?

이런 해킹툴 사용을 하면 가능합니다.

https://github.com/RUB-NDS/Metadata-Attacker

요즘 해킹툴은 Docker 를 사용해 간편하게 설치할 수 있는 위엄을 보여줍니다. 켁. ㅋㅋㅋ

혹시라도 아직까지 4.7.2 업데이트 도 안하신 분이 계시면 빨리 업데이트 하세요. 4.7.2 이전 버전에서 Rest Api 를 통해 관리자 비번이 그대로 노출되는 vuln (취약점) 이 존재했었어서 사이트가 통째로 털리고 deface 되고 엄청 심각한 문제였었습니다.

사실 해커가 맘먹고 사이트 털려고 하면 이 지구상에 안털릴 수 있는 사이트는 존재하지 않습니다. ㅠㅠㅠㅠ

5분만에 털려버린 롯데 사이트

단지 요즘 해킹은 automation 해킹, 다시말해 사람이 아닌 bot 을 보내 자동으로 해킹시도를 하는 경우가 대부분인데, 워드프레스 업데이트를 하시지 않으시면 이런 자동해킹으로 사이트가 해킹되는 경우까지 발생합니다.

Tags: , ,

카테고리:

Ω
  • http://www.thewordcracker.com/ Word

    오늘 새벽(한국 시각)에 확인해보니 WordPress 4.7.3 업데이트가 릴리스되어 모두 업데이트했습니다.

    4.7.3 버전에서는 PHP 7.1이 제대로 작동되는 것으로 보입니다. 하지만 제 블로그의 경우 일부 플러그인(W3 Total Cache)이 문제를 일으켜서 PHP 7.1은 플러그인 호환성 문제가 해결되면 적용할 수 있을 것 같습니다.

  • codei

    잠자고 있었는데 갑자기 울려대는 한통의 메일… 뭐지 하고 보니 알아서 업데이트 되어있더군요 ㅋㅋㅋ

  • http://est0que.tistory.com/ Estoque

    몇년전에 어나니머스에 탈탈 털린 우민끼 사이트가 생각나는군요 ㄷㄷ (담당자 시말서가 아닌 아오지 갔을듯)

    물론 안털릴 사이트는 없다지만 윗동네 인프라로 전산망도 외부랑 분리되어있던 농협 내부 네트워크가 원격으로 털렸다는 주장은 아직도 실소만 나옵니다.

    요즘은 염력으로 해킹하나 보죠? 😛

    • http://hackya.com Matthew

      우민끼는 어나니머스가 아니라 디시. 그 당시 윈도우에서 돌릴 수 있는 (정확하게는 PC 방에서 돌린) DDoS 툴을 제가 배포해 드리기도 했었는데 나중에 한국에 계신 분들 좀 골치 아팠었습니다. 경찰서에도 불려가고 그랬었…

      농협은 에효… 예전부터 문제 많았었습니다. 그런데 예산이 위에서 턱없이 적게 책정되는데 뭐 어쩌라고… 농협 사이트 관리자, 개발자들이 욕먹을 일은 아닙니다.

      • http://est0que.tistory.com/ Estoque

        메튜님 상당히 위험한 분이시군요 ㅋㅋ

        혹시 NIS 감시 명단에도 올라가 있진 않으실지… ㅋㅋㅋㅋ

        • http://hackya.com Matthew

          모르겠습니다. NSA 는 알아도 NSI 는 어떤 기관인지 조차 몰라서.

          예전에 메릴랜드 살때, 앞집이 지역구장님댁 이었는데 (성당에는 지역구장 이라는 직책이 있습니다.) 이 집 아들이 FBI 직원이었거든요.

          죄지은것도 없는데 가끔 이 친구만 봐도 왠지 불안하고, 워싱턴 DC 에 있는 NSA 를 가끔 지나갈때면 이상하게 심장이 떨리는 것 같고… ㅋㅋㅋ

          저는 아주 아주 오래전 sql injection 이나 조금 할줄 알았고 (그것도 blind inject 은 아예 할줄도 모르는) 해킹과는 상당히 거리가 멉니다.

          물론 오래전에는 간단한 sql injection 만 할줄 알아도 중앙일보, 모든 제로보드 기반 사이트, 그누보드 사이트들은 슝슝 뚤렸었죠. ㅋㅋㅋ

          아.. XSS 도 조금 할줄 알기는 아네요. 그런데 XSS 는 해킹이라고 하기도 좀 그런, 간단한 스크립팅일뿐 입니다. ^^;;;

          아, 하나 더 있네요. 툴사용해서 jpg/png/gif 에 악성 자스 (javascript) 심을줄도 압니다. 켁. ㅋㅋㅋ

          svg 의 경우는 툴 사용도 필요없이 그냥 에디터로 svg 파일열고 거기에 악성 자스 (백도어 스크립트) 를 심으신 후, svg 업로드가 열려 있는 사이트를 찾으시면 svg 업로드해서 뚫으실 수 있….

          이게 해킹에 관해 제가 알고 있는 모든 노하우의 전부 입니다. ㅎㅎㅎ