Beiträge und Gedanken zur Agilen Softwareentwicklung, Zeitmanagement und mehr ...
Seiten
▼
Montag, 2. November 2020
WordPress - Brute-Force Angriffe mit XML-RPC und REST-API
Das freie Content-Management-System WordPress ist weit verbreitet und oft werden nach einer Erstinstallation keine neuen Releases bzw. Security Updates mehr eingespielt. Hierdurch ergeben sich über die XML-RPC Schnittstelle in Verbindung mit der REST-API Möglichkeiten für eine Brute-Force-Attacke.
1. Schritt: REST-API Wordpress User herausfinden
Unter der URL http://DOMAIN.DE/wp-json/wp/v2/users lassen sich die User der Wordpress Installation auslesen, sofern die API von Wordpress nicht deaktiviert wurde.
Gleichzeitig lassen sich hier ggf. massenhaft E-Mail Adressen abgreifen, wenn die User als E-Mail Adressen angelegt wurden.
2. Brute-Force-Angriff über die XML-RPC Schnittstelle
Über die xmlrpc.php lassen sich Anfragen zur Authentifizierung per Webservice mit Benutzernamen und das Passwort senden.
Benötigt man diese Schnittstelle nicht, sollte man die xmlrpc.php deaktivieren. Mit Hilfe des WordPress XML-RPC Validation Service kann man überprüfen, ob der Service aktiv ist.
Bei GitHub finden sich viele xmlrpc-bruteforcer, mit nur wenigen Schritten, lassen sich so mit Hilfe von einem Python-Script Brute-Force-Angriffe starten.
Interessanter Artikel! Besonders alarmierend finde ich, wie viele WordPress-Websites im Standardzustand ungeschützt sind – und das oft, ohne dass es den Betreibern bewusst ist. Die einfache Überprüfung über die Bild-URLs oder den Quelltext (z. B. durch Suchen nach „wp-content“ oder „wp-json“) zeigt, wie leicht Angreifer potenzielle Schwachstellen identifizieren können. Dass selbst die REST-API oft offen zugänglich ist und sensible Daten wie Benutzernamen oder Kommentare preisgibt, unterstreicht die Dringlichkeit, hier nachzubessern.
Ein Punkt, der mir besonders ins Auge stach: Die 404-Fehlerseite mit Suchfunktion kann offenbar als Einfallstor für gezielte Datenabfragen missbraucht werden. Das ist ein klassisches Beispiel dafür, wie scheinbar harmlose Funktionen zu Sicherheitsrisiken werden können.
Mein Tipp: Regelmäßige Audits der WordPress-Einstellungen, besonders der REST-API-Pfade wie /wp-json/wp/v2/media oder /wp-json/wp/v2/users , sollten für jeden Admin Pflicht sein. Wer hier nachlässig ist, riskiert nicht nur Datenschutzverstöße, sondern auch das Vertrauen der Nutzer.
Ähnlich lassen sich auch ältere Versionen von Joomla angreifen. Siehe https://book.hacktricks.xyz/network-services-pentesting/pentesting-web/joomla .
AntwortenLöschenInteressanter Artikel! Besonders alarmierend finde ich, wie viele WordPress-Websites im Standardzustand ungeschützt sind – und das oft, ohne dass es den Betreibern bewusst ist. Die einfache Überprüfung über die Bild-URLs oder den Quelltext (z. B. durch Suchen nach „wp-content“ oder „wp-json“) zeigt, wie leicht Angreifer potenzielle Schwachstellen identifizieren können. Dass selbst die REST-API oft offen zugänglich ist und sensible Daten wie Benutzernamen oder Kommentare preisgibt, unterstreicht die Dringlichkeit, hier nachzubessern.
AntwortenLöschenEin Punkt, der mir besonders ins Auge stach: Die 404-Fehlerseite mit Suchfunktion kann offenbar als Einfallstor für gezielte Datenabfragen missbraucht werden. Das ist ein klassisches Beispiel dafür, wie scheinbar harmlose Funktionen zu Sicherheitsrisiken werden können.
Mein Tipp: Regelmäßige Audits der WordPress-Einstellungen, besonders der REST-API-Pfade wie /wp-json/wp/v2/media oder /wp-json/wp/v2/users , sollten für jeden Admin Pflicht sein. Wer hier nachlässig ist, riskiert nicht nur Datenschutzverstöße, sondern auch das Vertrauen der Nutzer.