Entretien avec un hacker de WordPress m0ze

Depuis 10 ans que WPScan répertorie les vulnérabilités de WordPress, des centaines de chercheurs en sécurité indépendants ont contribué à notre base de données sur les vulnérabilités de WordPress. Aujourd’hui, nous parlons avec m0ze, un contributeur de longue date de la base de données de vulnérabilités de WPScan, qui partage ses pensées sur l’état de la sécurité de WordPress aujourd’hui.

Veuillez vous présenter.

Mon nom est Vlad, également connu sous le nom de m0ze. Je suis un chercheur en sécurité indépendant, cofondateur du groupe Defcon Moscow et de 2600 Moscow meetings, accro à la musique et au café, intéressé par la psychologie et les graphiques vectoriels. En bref, j’apprends par la pratique, je vis selon le code et je reste fidèle à moi-même.

Comment avez-vous débuté dans la sécurité ?

Le terme “sécurité” a dans ce cas une connotation commerciale et professionnelle, mes vues et convictions sont plus proches du terme “hacker”. Dans les années 90, lorsque j’ai fait mes premiers pas dans cette direction, il n’y avait pas d’environnement d’entreprise imposé par l'”éthique” – des passionnés exploraient le monde des ordinateurs et des réseaux, où chacun avait sa part de bonheur. L’étude de l’ordinateur lui-même et de ses capacités était primordiale, puis, avec l’avènement du modem, les premières “incursions” sur Internet ont été possibles, ce qui a considérablement élargi les frontières de la recherche dans ce domaine. C’est alors que je suis tombé sur le magazine “Hacker”, et que j’ai appris pour la première fois qu’il existait un tel terme désignant conventionnellement les geeks et les passionnés qui étudient les capacités des ordinateurs, des réseaux et de la sécurité. C’est ici.

Comment avez-vous commencé à vous intéresser spécifiquement à la sécurité de WordPress ?

Plus précisément, pour l’intérêt porté à la sécurité de WordPress, je peux dire “merci” à la place de marché Envato, car ce sont les logiciels et les scripts qui y sont vendus qui ne diffèrent pas en termes de qualité de code et de sécurité, ce que j’ai personnellement rencontré en aidant un camarade à mettre en œuvre un projet de grande envergure. Il y a acheté un thème WordPress haut de gamme et plusieurs plugins. J’ai commencé à m’occuper de l’aspect technique du projet et j’ai décidé de jeter un coup d’œil au code en général. Quelques heures plus tard, quelques vulnérabilités ont été identifiées : Unrestricted File Upload, SQLi, IDOR, XSS – en bref, et à ce jour, les vulnérabilités les plus populaires des produits premium.
L’étape suivante a été d’informer l’auteur et le département QA d’Envato de ces vulnérabilités, mais de leur côté, je n’ai pas réussi à comprendre de quoi il s’agissait. Pour clarifier ce que sont les vulnérabilités et pourquoi elles doivent être corrigées, j’ai décidé de sélectionner au hasard d’autres thèmes du catalogue ThemeForest et, en utilisant leur exemple, de montrer qu’il existe des vulnérabilités, qu’elles doivent être corrigées et que ce problème nécessite une attention et un contrôle. Le résultat est qu’en ~15 minutes, j’ai trouvé environ 8 thèmes vulnérables sur la place de marché, ce qui m’a surpris. Ensuite, l’intérêt a été déclenché, à savoir s’il y a beaucoup de thèmes vulnérables en général et quelle est la situation globale de la sécurité des produits vendus sur cette place de marché. Sans entrer dans les détails, je dirai qu’à ce jour, tout est très mauvais. C’est ainsi qu’a commencé mon intérêt ciblé pour la sécurité de WordPress.

Vous soumettez des vulnérabilités à notre base de données depuis des années, comment WPScan vous aide-t-il dans le processus de divulgation des vulnérabilités ?

Le facteur le plus important est la publicité, la divulgation de problèmes de sécurité aussi courants d’un produit, en mettant l’accent sur l’élimination des vulnérabilités. Cela aide vraiment à améliorer le produit. Le deuxième point important est la négligence des chercheurs indépendants et leurs avertissements sur les vulnérabilités découvertes. Certains développeurs ne peuvent être atteints que par un canal plus officiel – une entreprise spécialisée qui fournit des services de sécurité (comme WPScan, par exemple), l’équipe chargée des plugins WordPress elle-même, ou en publiant une version 0-day.

Quels outils utilisez-vous pour trouver les vulnérabilités de WordPress ?

Rien de spécial : Burp Suite / ZAP, différents navigateurs avec un paquet d’extensions, des scripts personnels et des charges utiles, un éditeur de texte et mon serveur privé pour les tests. C’est l’ensemble que j’utilise le plus.

Quelle est votre opinion sur l’état actuel de la sécurité de WordPress ?

En soi, le moteur WordPress est assez sûr, ce qui est confirmé par les statistiques. En tout cas, pour l’instant, c’est ainsi, mais il me semble que dans les années à venir, le tableau pourrait changer pour le pire – c’est le cas de tous les projets qui gagnent une grande popularité et qui veulent plaire au plus grand nombre d’utilisateurs possible avec toutes les tendances modernes. Le CMS WordPress devient de plus en plus grand et complexe, et il est sorti de la niche ” blog uniquement ” il y a de nombreuses années, rappelez-vous à quoi ressemblait WordPress il y a 8 ans et ce qu’il est maintenant 🙂 ” Quand vous visez la perfection, vous découvrez que c’est une cible mouvante. ” ©

Il n’y a pas grand chose à dire sur les thèmes et les plugins – tout est très, très triste en termes de sécurité.

Quel conseil donneriez-vous à quelqu’un qui voudrait se lancer dans la recherche des vulnérabilités de WordPress ?

Lancez-vous dès maintenant si vous le voulez vraiment. N’attendez pas un “signe magique” car vous ne ferez que perdre votre temps (que vous regretterez plus tard). Osez, faites des erreurs et posez des questions “stupides” – c’est votre droit en tant que débutant. Votre tâche est d’apprendre, la nôtre est de montrer le chemin, d’inspirer et d’enseigner. Au fil des ans, vous nous apprendrez quelque chose, croyez-moi.

Ne vous accrochez pas au commerce et à l’argent, défendez l’idée et votre curiosité. N’ayez pas peur de l’échec, car l’échec crée un choix : arrêter d’essayer ou essayer plus fort. La question essentielle est de finaliser la défaite ou d’établir un progrès. C’est votre signal d’alarme.
“Quand vous perdez le plaisir et que vous commencez à faire les choses uniquement pour le retour sur investissement, vous êtes mort”. © Phrack #65

Qui doit suivre sur Twitter une personne qui veut se lancer dans la sécurité de WordPress ?

Il est important pour un débutant de s’informer le plus souvent et le plus possible sur l’écosystème WordPress, sur les vulnérabilités découvertes, les menaces et les mises à jour. Pour cela, un abonnement aux comptes des meilleures entreprises de sécurité de WordPress et aux comptes officiels de ce CMS est tout à fait suffisant. Je ne dirai rien des comptes personnels des chercheurs indépendants, car ici tout est individuel : les informations utiles à un débutant seront mêlées à des photos de chatons et à des émotions sans fin sur la pandémie de COVID-19.

Je ne recommanderais pas non plus de s’abonner à tout le monde à la suite, car il s’agit d’un réseau social, et la lecture d’un trop grand flux Twitter (ou autre) non filtré prendra beaucoup de temps, sans apporter une quantité significative d’informations utiles.

Autre chose que vous aimeriez ajouter ?

Oui. Restez positif, restez fidèle et soyez en bonne santé pendant cette période difficile. Merci d’avoir lu cette interview !

Quel est votre identifiant Twitter pour que les gens puissent vous suivre ?

Mon compte Twitter est @vladm0ze, n’hésitez pas à le suivre 🙂 .

Merci à m0ze pour son temps, si vous souhaitez également soumettre des vulnérabilités WordPress à notre base de données, et avoir une chance de gagner des cadeaux mensuels, vous pouvez le faire depuis ici.

Photo by Tima Miroshnichenko from Pexels

Author avatar
Yvon
https://oeildelynx.net