Lista abrevierilor [306698]

[anonimizat] – [anonimizat] – [anonimizat] – [anonimizat]-[anonimizat] – [anonimizat] – [anonimizat] – [anonimizat] – [anonimizat]-Platform (X), Apache (A), MariaDB (M), PHP (P) and Perl (P)

API – [anonimizat] – Request For Information

Lista figurilor

Figura 1. Ecommerce website created with WordPress

Figura 2. Identify vulnerabilities

Figura 3. Disclosure of user accounts and passwords

Figura 4. Pop-up window

Figura 5. Database

Figura 6. Diagrama Gantt

Figura 7. Organizarea lucrării de diplomă

Figura 8. Xampp

Figura 9. Interfața phpMyAdmin pentru crearea bazei de date

Figura 10. Conținutul arhivei WordPress

Figura 11. Introducerea informațiilor pentru conectarea la baza de date

Figura 12. Plugin-ul Slider Revolution

Figura 13. Tema Plug Shop

Figura 14. Produsele adăugate pe site

Figura 15. Comenzi WPScan

Figura 16. Vulnerabilitățile descoperite de WPScan

Figura 17. Instalarea Metasploit și depistarea vulnerabilității produsă de Slider Revolution

Figura 18. Opțiunile ce se pot exploata

Figura 19. [anonimizat]-ul Slider Revolution

Figura 20. Baza de date

Figura 21. Raportul vânzării domeniilor pe anul 2019

Figura 22. Planul de realizare

Figura 23. Identificarea vulnerabilităților

Figura 24. Vulnerabilitatea cauzată de Slider Revolution

Figura 25. Identificarea utilizatorului admin

Figura 26. [anonimizat] 27. [anonimizat] 28. Dezvăluirea contului și a parolei

Figura 29. [anonimizat]-un comentariu

Figura 30. Comentariu apărut pe site după rularea codului HTML cu succes

Summary

State of the Art

Currently there are over 1.9 billion websites out of which over 200 million are active. [15] [anonimizat], is increasingly being approached and analyzed. [anonimizat], [anonimizat]. [anonimizat] a whole. [anonimizat], and protected content such as credit card numbers. [15]

Some of these depend on the server environment (the most commonly used being Apache) [anonimizat], Ruby, Python, etc., [anonimizat]. However, strict testing of web applications before public launch is encouraged to prevent such exploitation. If a particular contact form is provided in a [anonimizat]. [15]

Many technologies are used to keep your information on the Internet safe when transmitting from one location to another. For example, Secure Socket Layer (SSL) encryption certificates are issued by certification authorities to help prevent internet fraud. Many developers often use different forms of encryption to transmit and store sensitive information. A basic understanding of security concerns in the field of information technology is often part of the knowledge of a web developer. [15] Web development uses Content Management Systems (CMS) to make content changes easier and more readily available with basic technical skills.

The WordPress Platform has recently released an update, version 5.1.1 released on March 15, 2019, which inserts a XSS (Cross Site Scripting) vulnerability stored in the platform's comment system. Even 10 days after the launch of this security breach, around 60% of all WordPress sites scanned by security services did not take any remedial action, reports the SecuriBlog site after analyzing the security of WordPress sites. [8]

This vulnerability requires the exploitation of a certain level of social engineering and, as such, it may seem that this attack would be very difficult to accomplish. But history has shown us that attackers are very effective at spamming WordPress blogs using similar techniques, even traditional phishing techniques.

The considerable market share WordPress has to attract attackers, thinking that a certain number of site owners can certainly trap such techniques. As a preventive measure, you need to update to the latest version as soon as possible.

The purpose of this diploma paper is to analyze the security issues encountered on the WordPress platform, namely the security of e-commerce sites and the security methods used by platform customers to protect confidential information.

Because the WordPress platform is one of the most widely used and known platforms in the world, it is always debating the safety of the many users this platform attracts.

The case study conducted in this diploma paper demonstrates the vulnerabilities of the platform and the risks to which its users are subject, of course, if they do not take increased security measures to protect their confidential information and those who subsequently access the site for different purposes.

Theoretical fundamentals

Introduction

Web based attacks are multiplying with the spectacular development of Web technologies that have led to the design of interactive platforms with dynamic content and high user interaction. Currently, more than 1.9 billion websites are found. These new platforms, however, also present vulnerabilities that can be exploited by cyber attackers to avoid security measures and to access unauthorized information in databases. Such attacks on site security can have a major impact on data confidentiality and theft of information, such as bank accounts, which are later used for personal purposes by attackers, criminal purposes.

The most common attacks of this type are Structured Query Language (SQL) injections, XSS (Cross Site Scripting), Cross-site Request Forgery (CSRF).

Security issues

Most web projects use databases to store and sort data. Structured Query Language (SQL) is used to access information in a database, its syntax may differ slightly for different database servers, but SQL is a universal language suitable for all databases.

Vulnerability called "SQL Injection" occurs when an attacker can insert any data into an SQL query or when the syntax injection, the logic of the script, is modified to perform a different action. SQL injection can be crucial to the system but, despite the dangers it poses, is one of the most common vulnerabilities. Attack defense methods should be directed directly to database-specific attack types and can minimize the impact of a security breach if one of the defense methods has proven to be inadequate or ineffective.

The best defense method against SQL injection is based on strong validation of input data routines.

XSS Cross Site Scripting is an attack technique used to force a web page to display a malicious code (usually written in HTML (Hypertext Markup Language) / JavaScript (called malware), which it then runs in the user's browser. This type of attack does not target the website's server (this is just a host), but the malicious code is executed directly in the browser, because the real target of the attack is the user. The attacker will only use trusted sites to perform the attack, and once he has control over the user's browser, he will be able to use it to steal the victim's account, record keystrokes on the victim's keyboard, steal records from browser history , and so on.

To infect a browser, you need to visit a page that contains JavaScript malware.

Cross Site Request Forgery (CSRF) is a form of attack on web applications that uses the trusted relationships between web applications and authenticated users by forcing those users to make sensitive transactions on behalf of the attacker. Web vulnerabilities typically occur as a result of mistakes made by web developers during their design and development, or by administrators during their use. Unlike the rest, CSRF vulnerabilities occur when developers omit an XSRF prevention mechanism from their application.

There are two main parts of an attack site falsification attack. The first is the deception of the victim by clicking on a link or by loading a page. This is normally done through social engineering and malicious ties. The second part is sending a crafty, legitimate request from the victim's browser to the website. The request is sent with values chosen by the attacker, including the cookies the victim has associated with the site. In this way, the site knows that this victim can perform certain actions on the site. Any request sent with these HTTP credentials or cookies will be considered legitimate even if the victim sends the request to the attacker's order. [19]

Implementation

The ecommerce website, MusicBeats is created by using the WordPress platform, as can be seen in Figura 1. The creation and management of the MySQL database was performed with the phpMyAdmin application from the XAMPP utility. It is used the XAMPP utility as a first step, then the database is created, after the WordPress platform is installed, the process of creating the site it's starts. Once the database connection is completed, the installation starts, site information such as title, user, password, email address will be added. The last step allows you to login as an administrator on the created site.

Slider Revolution is a plug-in for the content of the site. This plugin is one of the most popular WordPress plugins and is found on approximately 4 million sites worldwide, according to the official Slider Revolution website [11]. By installing this plug-in, a security breach was created to be exploited later.

The following will be pursued:

• using WPScan to find vulnerabilities or exploit them effectively

• examining the vulnerabilities encountered

• exploiting the vulnerabilities disclosed by WPScan

• list users and accounts used on the site

• brute force of the site admin's password

• using Matasploit to exploit the critical vulnerability of the previously uncovered plugin by WPScan

Figura 1. Ecommerce website created with WordPress

WPScan is a free WordPress vulnerability scanner for non-commercial use, written for security professionals and bloggers to test the security of their sites.

The WPScan archive was downloaded from https://wpscan.org/, followed by the following steps for installing and running the scanner from the terminal's command line:

-sudo gem install -n / usr / local / bin wpscan, this command starts installing the WPScan

-wpscan-update is the command used to update the WPScan vulnerability database, the first thing we need to do is make sure the WPScan vulnerability database is updated, type the command in the terminal to update the database data

-wpscan -url http: // localhost / license /, running this command shows the content of the site and all the vulnerabilities found on the site that can be exploited subsequently for site cracking, as shown in Figura 2, they discovered 19 vulnerabilities as follows:

Authenticated JavaScript File Upload

RSS and Atom Feed Escaping

HTML Language Attribute Escaping

'newbloguser' Key Weak Hashing

MediaElement Cross-Site Scripting (XSS)

Application Denial of Service (DoS) (unpatched)

Remove localhost Default

Use Safe Redirect for Login

Escape Version in Generator Tag

Authenticated Arbitrary File Deletion

Authenticated File Delete

-wpscan -url http: // localhost / license / –enumerated u, by running this command the site users are identified, the enumeration tool of the user WPScan has identified two user accounts, especially the most important: admin (default admin name remains unchanged) admin is still used. The second account may have administration privileges, gross forced labor can be used, if necessary.

-wpscan –url http://localhost/license/–password-attack wp-login –passwords/Users/ancaandonie/Desktop/wpscanteam-wpscan49b1829/lib/wpscan/wpw_pwd_dictionary.txt, running this command performs the attack on the site users' accounts.

Figura 2. Identify vulnerabilities

Experimental results

The experimental results are based on the test plan, which includes testing the vulnerability of the WordPress platform. Therefore, I will expose the results obtained and the tools used to obtain them. As a first step, the ecommerce site was created using the WordPress platform to test vulnerabilities, especially those related to site security. As noted above, to highlight the vulnerabilities of the platform, emphasis was placed on the most common security issues, such as breaking the administrator's account, or finding the password, which leads to the site being taken over by the attacker and his access to the database. Another common issue, previously addressed, is to redirect visitors to other targeting websites infected by attackers in order to access their confidential information such as user account, password, email addresses, bank accounts, etc. , to be used by attackers for personal purposes.

Attack testing and vulnerability testing have been used to test special scanners such as WPScan and MetaSploit.

As a result of the vulnerabilities found, as previously demonstrated, the user accounts and passwords, including the site administrator, were found and the site could be taken over by the attacker. As can be seen in Figure 3:

Figura 3. Disclosure of user accounts and passwords

A WordPress test site was created using the WordPress version 4.8.8 released on December 13, 2018, following the steps outlined in section 3.2.3 Creating the Ecommerce Website Using the WordPress Platform. Trying to run HTML and post comments on WordPress 5.1.1, but unsuccessful.

HTML codes were written as comments left by an unauthenticated user, the codes were run by making changes to the site such as pop-ups, changing the default font, pointing to another site.

HTML tags are added to the database exactly as they are written in the comments without being blocked. Comments can be seen in the database in Figura 5, and pop-un window in Figura 4 as a result of the vulnerabilities.

Figura 4. Pop-up window

Figura 5. Database

Costs analysis

A website is not enough to buy or build it, the site must be maintained on a regular basis so it remains effective. A website will always involve long-term costs, these costs being known as maintenance costs. Maintenance costs are relative and different from business to business, from manager to manager, but the main costs that apply to all virtual store or presentation sites will be presented below.

Domain may or may not be a long-term expense depending on the choice you choose, for example, .ro domains are paid for life without further expense, and domains with .com, .net, .org extensions , .info, etc., also involves annual costs, .ro domains, do not cost too much, because at most companies selling it, prices do not go up to 12 euros per year, and in better cases, it can pay even nine euros per year. However, the .ro domains are recommended because it does not involve long-term costs and generates better results in the search engines. [20], [22], [24], [25]

Web hosting can be a real expense for the user if he has a popular website. Of course, when the website is visited frequently and has a good audience, the company's productivity increases, but it is not a rule. Sometimes, even with a small audience, the site can make a lot of resources if it was not done well by the web design company it called. Generally speaking, web hosting costs are directly proportional to the audience the site has, and prices start even from one euro per month, for low-resource sites, up to several hundred euros per month, for sites that need an entire server in the back. A simple presentation site or blog will not involve costing more than five euros per month for web hosting, but virtual stores may run up to 50 euros per month. [21], [23], [24], [25 ]

As mentioned above, a website requires more than being published on a domain name, needs maintenance and attention from the manager. In this case, often a company that respects and, of course, allows the budget, chooses to pay a web design company, so all maintenance tasks are the responsibility of a team of professionals. Maintenance costs vary depending on site complexity and eventual claims of managers, sometimes up to several hundred euros per month. [22], [23], [25]

Hosting, domain, site creation, and maintenance will only provide the right conditions for sales, but it also requires a frequent promotion of the site, here we can remember SEO promotion (Search Engine Optimization), the one in the engines search, AdWords, posters, etc. Search Engine Optimization (SEO) is a process of improving the visibility of web sites or web pages in ordering the search results in the list of the engine search. AdWords from Google is an ad service for companies wishing to show ads on Google and the advertising network, AdWords allows businesses to set an advertising budget and pay only when they click on their ads. As a rule, in the long run, most money is spent on promotion, because the Internet has become very busy and rich, it takes financial resources to get you online. Depending on the promotion method and the aggressiveness they are doing, costs may range from a few hundred euros per month for an AdWords campaign, or a few tens of euros per month, for SEO optimization. The more money they spend on promotion, the better the results, which is not a rule. [21], [23], [24], [25]

Conclusions

The services offered by the WordPress platform attract more and more users from all corners of the world. This is by far, one of the most widely used and known open source platforms in the world that use the content management system. With the takeover of the market, more and more businesses are moved online, taking advantage of the ease of use offered by WordPress. The multitude of ecommerce sites, blogs, social networks, news sites, and more, attract fraud. Increasing the range of web services has led to an increase in customer numbers and a continued development is needed to satisfy their needs and loyalty.

With the advent of new technologies and their continued development, securing systems against attacks becomes an important and complex factor in the Internet. The adopted security methods promise to ensure the security, confidentiality and integrity of personal data, but these in turn may have some gaps that can later affect users.

Thus, following the case study on the WordPress platform, it can be said that it uses various security methods to protect data as efficiently as possible. However, the study has shown that, without increased protection from other security-related systems and applications, and without installing and using the latest version as soon as it launches, the users of the platform risk being the target attackers who take advantage of these vulnerabilities.

So, after analyzing one of the most known platforms, it can be said that it has vulnerabilities that can be exploited. The presence of vulnerabilities increases the risk of an attack on the application, which can cause considerable damage to users.

Damage caused by an attack directly affects the client who is using this platform but also the users who visit the site targeted by the attacker because their data is compromised and their privacy can not be talked about.

Therefore, the client should be aware that even in the case of this content platform, there may be risks, as in the other, if no increased security measures are taken, and even then experienced attackers can find breaches that bring vulnerability, even due and an outdated plug-in to the latest version, as demonstrated in this diploma paper.

In conclusion, there is a clear idea from the entire study, namely that there is no guarantee of total data security, small loopholes that lead to vulnerabilities caused by increased lack of attention to users, can then cause major damage by attackers.

Even if security is not complete, adopting security methods and security certificates, constantly updating applications, themes and plugins used is essential to avoid attacks.

Planificarea activității

Tabelul 1. Planificarea activității

Figura 6. Diagrama Gantt

Stadiul actual

Descrierea cadrului general și motivarea temei

Dezvoltările din tehnologie au dus la schimbări majore în ceea ce privește utilizarea și utilitatea internetului în zilele noastre. De la apariția World Wide Web (WWW), anul 1990, și până în prezent, tot mai multe site-uri sunt înființate zi de zi. De la comercializarea web-ului, dezvoltarea site-urilor a reprezentat o industrie în creștere. Creșterea acestei industrii este determinată de întreprinderile care doresc să utilizeze site-ul lor pentru a face publicitate și a vinde produse și servicii clienților. Actual sunt peste 1.9 miliarde de website-uri din care peste 200 de milioane sunt active.[15] Mediul cibernetic, aflat în plină evoluție, generează deopotrivă oportunități de dezvoltare a societății informaționale, dar și riscuri la adresa funcționării acesteia. Existența vulnerabilităților sistemelor informatice, ce pot fi exploatate de grupări organizate, face ca asigurarea securității spațiului cibernetic să constituie o preocupare majoră pentru toate entitățile implicate.

Dezvoltarea web, scrierea și codarea textului, poate varia de la elaborarea unei pagini simple, statice, de text simplu, până la aplicații web complexe, afaceri electronice și servicii de rețele sociale. O listă mai cuprinzătoare a sarcinilor la care se referă în mod obișnuit dezvoltarea web include: web design, dezvoltare de conținut web, legătura cu clienții, configurarea serverului web și a securității rețelei, dezvoltarea comerțului electronic.

Securitatea și siguranța utilizatorilor web, problema cea mai întâlnită actual, este din ce în ce mai atent abordată și analizată. Dezvoltarea web are în vedere mai multe considerente de securitate, cum ar fi verificarea erorilor la introducerea de date prin formulare, filtrarea ieșirilor, și criptarea. Practicile rău intenționate, cum ar fi injecția SQL, pot fi executate de către utilizatori cu intenții răuvoitoare, chiar dacă pot avea cunoștințe doar primitive de dezvoltare web per ansamblu. Scripturile pot fi folosite pentru a exploata siturile web prin obținerea accesului neautorizat al utilizatorilor de malware care încearcă să colecteze informații, cum ar fi adrese de email, parole și conținut protejat, precum numere de carduri de credit.[15]

O parte din acestea depind de mediul serverului (cel mai frecvent utilizat fiind Apache) pe care limbajul de programare, cum ar fi PHP, Ruby, Python, etc., se execută, și, prin urmare, nu ține de dezvoltatorul web problema securității în totalitate. Cu toate acestea, testarea strictă de aplicații web, înainte de lansarea publică, este încurajată, pentru a preveni astfel de exploatări. În cazul în care un anumit formular de contact este prevăzut într-un sit web, trebuie să fie utilizate sisteme care împiedică programe automate de calculator să completeze formularul și trimiterea automată de spam.[15]

Multe tehnologii sunt folosite pentru a păstra informațiile de pe internet în condiții de siguranță atunci când se fac transmisii de la o locație la alta. De exemplu, certificatele Secure Socket Layer (criptare SSL) sunt emise de autoritățile de certificare pentru a ajuta la prevenirea fraudelor pe internet. Mulți dezvoltatori folosesc adesea diferite forme de criptare la transmiterea și stocarea informațiilor sensibile. O înțelegere de bază a preocupărilor legate de securitate în domeniul tehnologiei informației este de multe ori o parte a cunoștințelor unui dezvoltator web.[15]

Dezvoltarea web utilizează sisteme de management al conținutului (CMS) pentru a face schimbările de conținut mai ușor și disponibile cu abilități tehnice de bază.

Sistemele de gestionare a conținutului (CSM) sunt aplicații pentru crearea și gestionarea conținutului unui site Web. Aproximativ 44% dintre site-urile web nu utilizează niciunul dintre sistemele de management al conținutului, acestea fiind create de dezvoltatorii web și sunt adaptate cerințelor exacte ale clienților. WordPress este utilizat actual de 34,1% din toate site-urile web, ceea ce reprezintă o cotă de piață a sistemului de management al conținutului de 60,8%.[10]

WordPress este de departe una dintre cele mai utilizate și cunoscute platforme din lume, de tip sursă deschisă care utilizează sistemul de gestionare a conținutului. A pornit ca platformă de bază pentru blogurile personale, dar a crescut treptat și s-a maturizat pe măsură ce anii au trecut. În 2019 este cel mai utilizat configurator pentru site-uri având cea mai importantă comunitate de dezvoltatori activi. Găzduiește milioane de site-uri web și deține o cotă de piață de peste 30% a site-urilor web pe Internet.[9] Este construită și concepută pentru a îndeplini un singur scop: să ridice standardele web, estetica și utilitatea acestora. WordPress este prima alegere printre bloggeri, designeri și proprietari de afaceri. Cu toate acestea, cu o astfel de utilizare în masă, există încă un mit greșit care evoluează în industrie prin faptul că doar adăugarea de certificate gratuite SSL garantează siguranța site-ul WordPress, ceea ce este cât se poate de greșit.

Atacurile constante asupra platformei și încercarea continuă a atacatorilor de a găsi noi breșe de securitate, care în cele mai multe cazuri sunt nefavorabile utilizatorilor site-urilor, ne fac să ne întrebăm cât este de sigură această platformă și ce ar trebui să facem să ne protejăm de intențiile rele, atât ca deținători ai site-urilor dar și din prisma utilizatorilor ce vizitează site-ul.

Platforma WordPress a lansat recent o actualizare, versiunea 5.1.1 lansată în data de 15 Martie 2019, care inserează o vulnerabilitate XSS (Cross Site Scripting) stocată în sistemul de comentarii al platformei. Chiar și la 10 zile după lansarea acestei breșe de securitate, aproximativ 60% din toate site-urile WordPress scanate de serviciile de securitate nu au aplicat nicio remediere, relatează site-ul SecuriBlog în urma analizării securității site-urilor ce folosesc platforma WordPress.[8]

Această vulnerabilitate necesită exploatarea unui anumit nivel de inginerie socială și, ca atare, poate părea că acest atac ar fi foarte greu de realizat. Dar istoria ne-a arătat că atacatorii sunt foarte eficienți la spam-ul blogurilor WordPress folosind tehnici similare, chiar și tehnicile tradiționale de phishing.

Cota de piață considerabilă pe care WordPress o are, nu face decât să atragă atacatori, gândindu-se că un anumit număr de proprietari de site-uri pot cădea în capcană cu siguranță la astfel de tehnici. Ca măsură de prevenție trebui să actualizați la cea mai recentă versiune cât mai curând posibil.

Un atacator poate prelua orice site WordPress care a fost activat prin înșelăciunea unui administrator al unui blog vizat pentru a vizita un site web creat de atacator. De îndată ce administratorul site-ului victimă vizitează site-ul web rău intenționat, exploatarea de tip CSRF (cross-site request forgery), este difuzată în fața fundalului blogului WordPress, fără ca victima să observe. CSRF exploatează mai multe erori logice și erori de igienizare care combinate conduc la executarea codului la distanță și la preluarea integrală a site-ului.

Cross Site Request Forgery sau CSRF este una dintre cele mai răspândite vulnerabilități web ce constă în injectarea sau plasarea unui cod malițios într-o aplicație, ce are ca scop efectuarea unei acțiuni fără voia utilizatorului în cadrul unei aplicații valide.[16]

Vulnerabilitățile există în WordPress înainte de versiunea 5.1.1 și sunt exploatabile cu setările implicite.

Având în vedere importanța comentariilor, care sunt o caracteristică principală a blogurilor și sunt activate în mod implicit, vulnerabilitatea comentariilor afectează milioane de site-uri. WordPress nu efectuează validarea CSRF atunci când un utilizator posta un comentariu nou. Acest lucru înseamnă că un atacator poate crea comentarii în numele utilizatorilor administrativi ai unui blog WordPress prin intermediul atacurilor CSRF. Acest lucru poate deveni o problemă de securitate, deoarece administratorilor unui blog WordPress li se permite să utilizeze etichete HTML arbitrare în comentarii, chiar și fragmente de cod. În teorie, un atacator ar putea abuza pur și simplu de vulnerabilitatea CSRF pentru a crea un comentariu care conține cod JavaScript rău intenționat.

Site-ul Netflix din 2006 a avut numeroase vulnerabilități CSRF, ceea ce ar fi permis unui atacator să efectueze acțiuni cum ar fi adăugarea unui DVD, schimbarea adresei de expediere din cont sau modificarea acreditărilor de autentificare ale victimei pentru a compromite complet contul [17].

Aplicația web banking online a ING Bank a fost vulnerabilă la un atac CSRF care a permis transferurile ilegale de bani [17]. Site-ul video popular YouTube a fost, de asemenea, vulnerabil la CSRF în 2008 și acest lucru a permis oricărui atacator să efectueze aproape toate acțiunile oricărui utilizator [17].

Noi atacuri împotriva dispozitivelor cu funcții web au fost efectuate în 2018, inclusiv încercările de a modifica setările DNS ale routerelor. Unii producători de rutere au lansat rapid actualizări pentru a îmbunătăți protecția și au sfătuit utilizatorii să schimbe setările routerului pentru a reduce riscul. [17]

Scopul lucrării de diplomă

Scopul acestei lucrări de diplomă este de a analiza problemele de securitate întâlnite pe platforma WordPress, mai exact securitatea site-urilor de comerț electronic și metodele de securitate utilizate de către clienții platformei, în vederea protejării informațiilor confidențiale.

Deoarece, platforma WordPress este una din cele mai utilizate și cunoscute platforme din lume, se pune mereu în dezbatere siguranța multitudinii de utilizatori pe care această platformă îi atrage.

În studiul de caz realizat în aceasta lucrare de diplomă se demonstrează vulnerabilitățile platformei și riscurile la care utilizatorii ei sunt supuși, bineînțeles, dacă aceștia nu adoptă măsuri sporite de securitate, care să le protejeze informațiile confidențiale lor, și respectiv, persoanelor care accesează ulterior site-ul în diferite scopuri.

Pentru a da finalitate lucrurilor s-au fixat obiectivele secundare ale lucrării de diplomă, după cum este prezentat mai jos, s-a urmărit:

de a oferi o imagine de ansamblu în ceea ce privește evoluția site-urilor web și impactul lor asupra utilizatorilor;

de a studia problemele de securitate întâlnite pe sistemele de gestionare a conținutului;

de a studia platforma WordPress și de a oferi o imagine clară a riscurilor pe care aceasta le prezintă;

de a studia modul în care un site de comerț electronic se realizează;

de a studia și a oferi o imagine de ansamblu a platformelor prin care se realizează scanarea vulnerabilității site-urilor și cum pot fi ele utilizate de către atacatori;

de a testa și aprecia problemele întâlnite ce pot avea ca urmare breșe de securitate prezente a site-ului creat;

de a rezolva problemele de securitate;

Astfel, în cadrul lucrării de diplomă s-a realizat un studiu de caz privind serviciile furnizate de platforma WordPress, testând siguranța utilizatorilor. În prima parte, s-a realizat o introducere în sfera internetului, punând accentul pe utilizarea acerbă din zile noastre a site-urilor web. Ulterior, s-a pus în prim plan platforma WordPress după cum urmează: instalarea platformei și crearea unui site de comerț electronic, instalarea de plugin-uri și teme, respectiv instalarea plugin-ului RevSlider, popularea bazei de date cu produse și designul site-ului. Găzduirea site-ului s-a realizat pe serverul local, utilizând utilitarul XAMPP.

Apoi, s-a realizat instalarea platformelor ce realizează scanarea vulnerabilității site-urilor, WPScan, respectiv MetaSploit. În urma instalării platformelor de scanare, s-a realizat testarea securității și evidențierea vulnerabilităților. Odată descoperite, vulnerabilitățile au fost exploatate, precum expunerea conturilor, respectiv a parolelor, admin-ului și a utilizatorilor prezenți pe site.

Ca rezultat, informațiile confidențiale au fost dezvăluite, iar site-ul a putut fi preluat de atacator.

Structura și organizarea lucrării de diplomă

Figura 7. Organizarea lucrării de diplomă

Fundamentare teoretică

Introducere

Evoluția mediului online în ultimul timp este incontestabilă. De la minunata invenție a platformei ARPAnet (prima încercare timidă de conectare a mai multor calculatoare la o rețea pentru transmiterea rapidă a informațiilor) și până la invenția lui Tim Berners Lee (inventatorul rețelei World Wide Web) lucrurile s-au schimbat.

Internetul a pornit ca un proiect experimental al SUA, care avea ca scop crearea unei platforme de comunicare impenetrabile, pentru armată. Așa a luat naștere ARPAnet. Mai târziu s-a inventat HTML-ul și de atunci a început dezvoltarea site-urilor. Bătălia motoarelor de căutare și a browserelor a început să devină din ce în ce mai crâncenă și totul a început să evolueze.

Acum, când în mediul online există din ce în ce mai multe site-uri și fiecare companie se luptă pentru supremație, interactivitatea conținutului și modul de comunicare în online fac diferența. Web-ul răspândit la scară globală, o invenție veche de câteva decenii, a evoluat. Dar la fel au făcut și amenințările. Viermii și virușii s-au transformat din simple mici probleme agasante în serioase provocări de securitate și instrumente perfecte ale spionajului cibernetic. Atacurile executate cu implicarea unui grup numeros de calculatoare care generează refuzul de a presta serviciile solicitate (distributed denial of service – DDOS), privite până acum ca, de fapt, nimic mai mult decât niște „blocaje de protest”, au devenit un instrument în războiul informațional. [3]

În iunie 2010, softul malițios „Stuxnet” a devenit public, ceva ca o „bombă de penetrare a țintelor blindate digitală” care a atacat programul nuclear iranian. Prin acesta, avertizările timpurii transmise de experți începând din 2001 au devenit realitate, sugerând că dimensiunea cibernetică ar putea să fie folosită mai devreme sau mai târziu pentru executarea unor atacuri serioase care vor avea consecințe letale în lumea reală.[5]

Pe timpul crizei generate de Kosovo, NATO s-a confruntat cu primele sale incidente serioase cauzate de atacuri cibernetice. Acest lucru a făcut ca, printre altele, contul e-mail al NATO să fie blocat timp de câteva zile pentru vizitatorii externi și ca funcționarea website-ului Alianței să fie întreruptă în mod repetat.[5]

Conștientizarea crescândă a seriozității amenințării cibernetice a fost accentuată și mai mult de incidentele din anii care au urmat.

În 2008, unul dintre cele mai serioase atacuri de până în prezent a fost lansat împotriva sistemului american de computere. Prin intermediul unui singur memory stick conectat la un laptop al armatei, la o bază militară din Orientul Mijlociu, un program spion s-a răspândit nedetectat, atât în sistemele clasificate, cât și în cele neclasificate. Acest eveniment a realizat ceea ce a echivalat cu un cap de pod digital, prin care mii de dosare cu date au fost transferate în servere aflate sub control străin, acest pragraf este redactat în conformitate cu declarațiile oficiale NATO. [3], [4]

Începând de atunci, spionajul cibernetic a devenit o amenințare aproape constantă.

Viermele Stuxnet apărut în 2010 a evidențiat un nou salt calitativ la nivelul capabilităților distructive ale războiului cibernetic. În vara lui 2010, s-a răspândit vestea că aproximativ 45.000 de sisteme de control industrial Siemens din întreaga lume au fost infectate de un virus troian special conceput, care putea manipula procesele tehnice de o importanță crucială pentru centralele nucleare din Iran.[5] Deși evaluarea avariilor este în continuare neclară, acest lucru a evidențiat riscul softului malițios care afectează sisteme de computere de o importanță crucială în managementul aprovizionării cu energie sau al rețelelor de trafic. Pentru prima dată, aici a existat dovada existenței atacurilor cibernetice care pot cauza avarii fizice reale și generează riscul pierderii de vieți umane.

La nivel european au fost întreprinse demersuri pentru a adopta noi politici privind lupta împotriva criminalității informatice și asigurarea securității cibernetice. Directiva NIS privind securitatea rețelelor și a sistemelor informatice, adoptată de Parlamentul European și Consiliul Uniunii Europene la data de 6 iulie 2016.[1]

Scopul Directivei NIS este de a asigura un nivel comun de securitate a rețelelor și a sistemelor informatice în Uniunea Europeană și cere operatorilor, respectiv furnizorilor de servicii digitale, să adopte măsuri adecvate pentru prevenirea atacurilor cibernetice și managementul riscului, și să raporteze incidentele grave de securitate către autoritățile naționale competente. [1]

La nivel național a fost adoptată Strategia de securitate cibernetică a României în anul 2013, cu scopul de a defini și a menține un mediu cibernetic sigur, cu un înalt grad de siguranță și de încredere. Această strategie își propune adaptarea cadrului normativ și instituțional la dinamica amenințărilor mediului virtual, stabilirea și aplicarea unor cerințe minimale de securitate pentru infrastructurile cibernetice naționale, asigurarea rezilienței acestora și dezvoltarea cooperării în plan național și internațional.[1] Realizarea strategiei de securitate cibernetică are la bază principii de coordonare a planurilor de acțiune destinate asigurării securității cibernetice, de cooperare între toate entitățile implicate, atât din mediul public, cât și din cel privat, de prioritizare a securizării infrastructurilor critice naționale și de diseminare a informațiilor, a expertizei și a bunelor practici în scopul protejării infrastructurilor cibernetice.

Din punct de vedere software există mai multe tipuri de vulnerabilități:

– care măresc privilegiile utilizatorilor locali fără autorizație;

– care permit utilizatorilor externi să acceseze sistemul în mod neautorizat;

– care permit implicarea sistemului într-un atac asupra unui terț utilizator, de exemplu atacul DDoS (Distributed Denial of Service).

În zilele noastre, DDoS este un termen destul de ușor de recunoscut. DDoS reprezintă Distribuit Denial of Service, un atac DDoS se axează pe deteriorarea unui serviciu, cum ar fi:

-un site web,

-un furnizor de servicii internet (ISP);

-o sonda NASA,

-un server de jocuri.

Practic orice legătură cu internetul este o țintă potențială. Un atacator se va folosi un număr de mașini pe internet pentru a trimite un volum mare de trafic fals pe site, toate în încercarea de a supraîncărca resursele serverului și a aduce site-ul în jos.

Există multe tipuri și dimensiuni de atacuri DDoS care pot fi letale, indiferent de mărimea lor. Un DDoS puternic poate fi la fel de mic ca o cerere pe secundă și are totuși cu efecte devastatoare pe un site Web. [32]

Acest proces este în mare parte automatizat, nu sunteți vizați în mod specific. Desigur, acest lucru nu contează pentru cei afectați de aceasta, deși rezultatele pot fi foarte dăunătoare pentru site, mai ales dacă este un site de comerț electronic.

Dar să spunem că un comerciant online, cu abilități de hacking, dorește să țină oamenii departe de site-ul concurentului, fără să fie conștienți de acest lucru. Hackerul poate să facă DDoS site-ul de câteva ori pe zi, la intervale aleatorii pe parcursul zilei, doar pentru ai face pe clienții competitorilor să își piardă rabdarea, pentru a începe să se plângă de cât de lent este site-ul concurentului. Serverul hacker arunca 500 de lovituri pe zi (nimic neobișnuit), iar site-ul nu ar mai fi mai mult de câteva secunde, intervale. Chiar și atacurile DDoS "mai blânde", cum ar fi aceasta, pot deteriora afacerea și reputația victimei. [32]

Există două indicații cheie care ar putea să vă confruntați cu un atac DDoS:

Atunci când site-ul nu este disponibil – latența site-ului web;

Când durează mult timp pentru a accesa site-ul web;

Acești pași protejează site-ul împotriva atacurilor DDoS:

Monitorizarea activității site-ului web.

Este necesar să fie urmărită cu atenție activitatea de rețea, astfel administratorul poate recunoaște când nu este nimic rău. Acest lucru ajută la identificarea vârfurile de trafic și dacă ar putea apărea un atac DDoS.

Îmbunătățirea capacității site-ului. Este necesară o capacitate suficient de mare pentru a transporta sarcina și pentru a optimiza performanța în timpul vârfurilor.

Trebuie utilizat un furnizor de securitate pentru site. Multe companii decid în mod rezonabil că nu doresc să se ocupe de provocarea DDoS pe plan intern.

Trebuie analizat impactul financiar pe care un atac DDoS l-ar avea asupra companiei dacă s-ar întâmpla. Costul asociat cu atacarea este, de obicei, mult mai mare decât costul pentru a lua măsuri de siguranță, în special pentru firmele de comerț electronic în timpul sărbătorilor.

Se sugerează utilizarea unui Firewall pentru aplicații web. Caracteristica de atenuare a DDoS a firewall-ului blochează automat traficul fals și solicitările de la roboții rău intenționați, fără a interfera cu sursele legitime de trafic. [32]

Monitorizarea regulată a sistemului și apărarea exterioară, prin utilizarea unui Firewall pentru aplicații web, va face acest atac foarte greu de realizat.

Este, de asemenea, posibil verificarea instrumentelor analitice și să se observe dacă o anumită sursă de trafic continuă să interogheze un anumit set de date mult timp după ce Timpul de viață (TTL) pentru site a trecut. Acesta este intervalul de timp setat pentru ca site-ul să elimine datele deținute și să elibereze resurse. [1]

S-a întocmit o clasificare după gradul de pericol pe care îl reprezintă vulnerabilitățile pentru sistemul informatic supus atacului. Astfel, în funcție de pericolul prezentat, vulnerabilitățile prezintă 3 grade notate cu 1, 2 și 3, unde 1 reprezintă cel mai grav mod de atac, sunt regăsite în Tabelul 2.

Tabel 2. Gradele de vulnerabilitate

Atacurile la nivelul aplicațiilor Web se înmulțesc odată cu dezvoltarea spectaculoasă a tehnologiilor Web care au dus la conceperea unor platforme interactive, cu conținut dinamic și având o interacțiune ridicată cu utilizatorii. În prezent se regăsesc peste 1.9 miliarde de site-uri Web. Aceste noi platforme prezintă însă și vulnerabilități ce pot fi exploatate de atacatorii cibernetici cu scopul de a evita măsurile de securitate și de a accesa în mod neautorizat informațiile din bazele de date. Astfel de atacuri la adresa securității site-urilor pot avea un impact major în ceea ce privește confidențialitatea datelor și furtul de informații, precum conturi bancare, care ulterior sunt folosite în scopuri personale de atacatori, scopuri infracționale. [3], [6]

Cele mai întâlnite atacuri de acest tip sunt:

SQLi: injecții cu cod sursă SQL (Structured Query Language), acest atac vizează în mod special baza de date a site-ului țintă, prin injecțiile cu cod sursa SQL, un atacator poate introduce anumite date într-o interogare SQL ce este transmisă bazei de date, schimbând logica interogării. În acest fel, atacatorul poate evita mecanismele de autentificare. [5]

XSS (Cross Site Scripting): atacatorul inserează în cadrul unui site script-uri ce sunt executate în aplicațiile browser ale victimelor în momentul în care aceștia vizitează site-ul infectat, aceste scrip-uri pot fi inserate de exemplu și într-un comentariu lăsat pe site-ul țintă, iar dacă site-ul nu are un nivel de securitate ridicat, nu are făcute actualizării ale versiunii noi de plugin-uri, aplicații, teme, etc., atacatorul reușește să modifice conținutul site-ului precum s-a demonstrat la ulterior în capitolul Implementarea soluțiilor.[5]

CSRF (Cross-Site Request Forgery): atacatorul folosește relațiile de încredere stabilite între aplicațiile Web și utilizatorii autentificați. Astfel, atacatorul preia controlul asupra sesiunii victimei, având control complet asupra contului utilizatorului. [5]

Man in the Middle: atacatorul interceptează comunicarea dintre utilizator și website, putând prelua datele de acces dacă acestea nu sunt transmise criptat.[5]

Atacuri la nivelul aplicațiilor Web

SQL Injection

Majoritatea proiectelor web, folosesc baze de date pentru a își stoca și ordona datele. Structured Query Language (SQL) este folosit pentru a accesa informațiile dintr-o bază de date, sintaxa acesteia poate să difere puțin în cazul diferitelor servere de bazele de date, însă, SQL este un limbaj universal potrivit pentru toate bazele de date.

Vulnerabilitatea numită "Injecție cu cod sursă SQL" (SQL Injection) apare atunci când un atacator poate introduce orice date într-o interogare SQL sau când, prin injectarea sintaxei, logica scriptului, să fie modificată în asemenea fel încât să execute o acțiune diferită. Injecția SQL poate fi crucială pentru sistem dar, în ciuda pericolului pe care îl prezintă, este una din cele mai frecvente vulnerabilități. Metodele de apărare împotriva atacurilor ar trebui să fie adresate direct tipurilor de atac specifice bazelor de date și să poată minimiza impactul unui breșe de securitate în cazul în care una din metodele de apărare s-a dovedit inadecvată sau ineficientă.

Cea mai bună metodă de apărare împotriva injecțiilor SQL se bazează pe rutine puternice de validare a datelor de intrare.[5], [6]

Există măsuri specifice care pot fi luate în cadrul bazei de date și la nivel de aplicație, aceste măsuri sunt preluate de la cert.ro, Centrul Național de Răspuns la Incidente de Securitate Cibernetică:
-este necesar să se utilizeze variabile bine definite și definițiile coloanelor bazei de date: se stochează și manipulează numerele (ID-uri de sesiune, coduri poștale, date de naștere) ca și numere întregi sau că alte tipuri numerice potrivite. String-urile (varchars) ar trebui să conțină doar caractere alfanumerice și să respingă semnele de punctuație și caracterele specifice sintaxei SQL.[3]

-trebuie atribuite rezultatele interogării unei variabile bine definite: dacă aplicația caută valori numerice atunci trebuie atribuit rezultatul unui număr întreg, acest lucru îi împiedică pe atacatori să extragă informații din baza de date. Nu este posibil să fie obținut și afișat numele unei coloane dacă variabila ce urmează să fie afișată în browser nu acceptă decât numere întregi. Această tehnică restricționează sever anumite atacuri.[3]

-trebuie să se limiteze lungimea datelor: toate șirurile de caractere ar trebui să se limiteze la o lungime potrivită scopului lor. Un nume de familie, de exemplu, nu este necesar să fie stocat și manipulat într-o variabila care utilizează 256 de caractere. Limitarea numărului de caractere care poate fi introdus într-un câmp poate împiedica în mod eficient succesul unei injecții SQL, reducând, lungimea șirului de caractere pe care atacatorul îl poate introduce în cod.[3]

-trebuie să se evite crearea de interogări prin concatenarea de șiruri de caractere: să se creeze o funcție view sau o procedura, care operează asupra variabilelor furnizate de aplicație. Concatenarea șirurilor de caractere, unde interogarea este formată direct din datele furnizate de utilizatori (de genul: „SELECT ceva FROM table WHERE”), este cea mai vulnerabilă la atacurile SQL Injection. Pe de altă parte, o funcție view sau o procedură particularizată, de obicei generază o eroare dacă primește date de intrare incorecte, însă, nu îi va permite unui atacator să manipuleze întreagă intrerogare.[3]

-trebuie să se aplice separarea datelor și accesul pe baza de rol în interiorul bazei de date: aplicația ar trebui să folosească un cont care are privilegii de acces doar pentru tabelele necesare ei. Cataloagele interne ale bazei de date, în special cele legate de managementul conturilor și variabilele sistemului, nu ar trebui să fie accesibile.[3]

XSS Cross Site Scripting

XSS Cross Site Scripting reprezintă o tehnică de atac, folosită pentru a forța o pagină web să afișeze un cod malițios (scris, de obicei, în HTML (Hypertext Markup Language)/ JavaScript (numit malware)), pe care îl execută ulterior în browser-ul unui utilizator. Acest tip de atac, nu are ca țintă serverul site-ului web, (acesta este doar o gazdă), ci codul malware este executat direct în browser, deoarece, adevărata țintă a atacului este utilizatorul. Atacatorul va folosi doar site-uri de încredere pentru a efectua atacul , și odată ce are control asupra browser-ului utilizatorului, îl va putea folosi pentru a fura contul victimei, înregistrarea tastelor apăsate de la tastatură victimei, furtul înregistrărilor din istoricul browser-ului, etc.[1], [3], [8],

Pentru a infecta un browser, trebuie să vizitați o pagină care conține malware JavaScript.
Sunt mai multe modalități prin care un malware scris în JavaScript poate deveni rezident pe o pagină web:

-proprietarul paginii web îl poate încărca intenționat.

-pagina web poate primi o deteriorare folosind o vulnerabilitate a rețelei sau a straturilor sistemului de operare, iar parte din codul introdus să fie malware JavaScript.

-poate fi folosită o vulnerabilitate permanentă la XSS, iar malware-ul să fie injectat într-o zonă publică a paginii web.

-victima poate accesa un link special pregătit în spatele căruia se ascunde un XSS non-persistent sau bazat pe Document Object Model (DOM).[10], [12], [18]

Atacul XSS poate fi: non-persistent, bazat pe DOM, persistent.

Atacul non-persistent:

Dacă atacatorul dorește să atace prin XSS pagina http://licenta/, un site de comerț electronic mai întâi trebuie să găsească o vulnerabilitate la XSS. Pentru asta acesta caută un parametru de unde utilizatorul poate trimite mesaje la server și la care primește mesaje înapoi (un câmp de căutare).
Ca și rezultat pagina va afișa o fereastră de dialog inofensivă (după instrucțiunea din cod) care este acum parte din pagină, demonstrând succesul codului care acum face parte http://licenta/. De aici URL-ul poate fi modificat să conțină atacuri XSS mai complexe (ex: furtul de cookie-uri). 10], [12], [18]

Atacul bazat pe DOM:

Atacul XSS bazat pe DOM este o formă unică de cross-site scripting (xss), foarte similară cu cel non-persistent dar fără a fi nevoie să trimitem un mesaj și să așteptăm răspuns. Considerăm pagina de comerț electronic din exemplul următor, doar că are o caracteristică în plus pentru afișarea promoțiilor și că interogările din URL-urile pentru afișarea produselor își trag datele direct din backend-ul bazei de date (ex: id_produs) pentru a le afișa utilizatorului.

Putem manipula URL-urile pentru a afișa mesaje diferite sau putem adaugă malware la sfârșitul URL-ului în acest fel:

Din: http://licenta/ie?product_id=34&title=Last+Chance!

În: http://victim/ie?product_id=34&title=Foo#<script>alert(‘XSS%20Testing’)</script>

În acest caz JavaScript-ul de pe partea clientului are încredere în datele conținute de URL și le afișează pe ecran. Ce face acest stil de atac XSS diferit este că nu se trimite codul malware la serverul web, ci fragmentul din URL nou adăugat îi spune browser-ului în ce punct al documentului curent să sară (rămâne în cadrul DOM, de aici și numele). 10], [12], [18]

Atacul persistent:

Atac XSS persistent sau injecție cu cod HTML nu necesită link-uri special pentru execuție, tot ce trebuie atacatorul să facă este să adauge codul XSS într-o parte a paginii web care are potențial mare de a fi vizitată de către utilizatori (comentariile de pe bloguri, posturile de pe forumuri, chaturi, etc.). Odată ce utilizatorul vizitează pagina infectată, execuția este automată ceea ce face a acest tip de atac să fie mult mai periculos decât primele două, deoarece, nu există cale prin care utilizatorul se poate apăra, și până, și utilizatorii care știu despre această vulnerabilitate pot fi ușor compromiși. 10], [12], [18]

Metode de prevenire a atacurilor de tip Cross-site scripting (XSS):

Codificarea datelor de intrare și de ieșire au fiecare argumentele lor pozitive și negative. Partea pozitivă a codificării datelor de intrare oferă un singur punct de acces, în timp ce, codarea datelor de ieșire oferă posibilitatea de a face față tuturor utilizărilor textului și poziționarea acestuia în pagina. Părțile negative sunt că nici codarea datelor de intrare nu poate opri un atac XSS persistent odată ce a fost stocat, iar codarea datelor de ieșire nu poate opri alte forme de atac, cum ar fi injecția cu cod SQL, deoarece intervine prea târziu. Există un număr de soluții de a vă proteja în calitate de client. Niște idei simple sunt: alegerea unui browser securizat, folosirea unei mașini virtuale, de a accesă doar link-urile cunoscute, atenția sporită la informațiile divulgate depre conturile personale. 10], [12], [18]

Filtrarea:

Filtrarea poate produce rezultate neașteptate dacă nu monitorizați atent datele de ieșire. Folosirea unei bucle poate reduce riscurile asociate cu filtrarea de conținut. Doar filtrarea, fără folosirea altor metode, poate introduce noi riscuri prin crearea unor noi tipuri de atac, așadar, este important să înțelegeți în ce ordine trebuie filtrele aplicate și cum interacționează unul cu celălalt. 10], [12], [18]

Codarea datelor de intrare:

Poate crea un singur punct de intrare a datelor pentru toate codările. Vă poate proteja împotriva la mai mult decât de vulnerabilitatea la XSS, va poate proteja, de asemenea, de injecții cu cod SQL și injecții de comandă care pot fi verificate înainte de a stoca informații în bază de date. Nu poate opri atacurile persistente de tip XSS odată stocate. 10], [12], [18]

Codarea datelor de ieșire:

Este mai detaliat și poate lua și contextul în considerare. Se poate că dezvoltatorii să trebuiască să efectueze codarea de mai multe ori pentru aceeași locație acolo unde este trimisă informația. 10], [12], [18]

Securitatea browser-ului web:

Este sugerat eviatrea URL-urile prea lungi sau prea complexe, acestea sunt cel mai probabil să conțină vulnerabilități. Nu trebuie să se acceseze URL-uri necunoscute primite prin e-mail, dacă este posibil. Trebuie să se aleagă un browser sigur și să fie personalizate setările de securitate pentru a reduce riscul de atac. 10], [12], [18]

CSRF Cross Site Request Forgery

Cross Site Request Forgery (CSRF sau XSRF) este o formă de atac asupra aplicațiilor web care se folosește de relațiile de încredere existente între aplicațiile web și utilizatorii autentificati prin a forța acei utilizatori să facă tranzacții sensibile în numele atacatorului. În mod obișnuit, vulnerabilitățile web apar că urmare a unor greșeli făcute de dezvoltatorii paginilor web în timpul proiectării și dezvoltării acestora, sau de către administratori în timpul utilizării acestora. Spre deosebire de restul, vulnerabilitățile de tip XSRF, apar atunci când dezvoltatorii omit un mecanism de prevenire a XSRF din aplicația lor. [16], [17], [19]

Cererea de falsificare a site-urilor, cunoscută și sub numele de CSRF, Sea Surf sau XSRF, este un atac prin care un atacator păcălește o victimă în efectuarea de acțiuni în numele său. Impactul atacului depinde de nivelul permisiunilor pe care le are victima. Astfel de atacuri profită de faptul că un site web are încredere în întregul utilizator odată ce poate confirma că utilizatorul este într-adevăr cine spune că este. CSRF este considerat un gigant adormit în lumea securității aplicațiilor web. Adesea nu este considerat la fel de grav cum ar trebui, chiar dacă se poate dovedi a fi un atac ascuns și puternic dacă este executat corect. Este, de asemenea, un atac comun, motiv pentru care a obținut un loc pe lista OWASP Top 10, care prezintă cele mai întâlnite atacuri, de mai multe ori la rând.[18] Cu toate acestea, o vulnerabilitate exploatată de Cross-site Scripting (XSS) este mai mult decât un risc decât orice vulnerabilitate CSRF, deoarece atacurile CSRF au o limitare majoră. CSRF permite numai schimbări de stat și, prin urmare, atacatorul nu poate primi conținutul răspunsului HTTP.[19]

Există două părți principale ale executării unui atac de falsificare a solicitărilor între site-uri. Prima dintre ele este înșelăciunea victimei făcând clic pe un link sau încărcând o pagină. Acest lucru se face în mod normal prin ingineria socială și legăturile rău intenționate. Cea de-a doua parte este trimiterea unei cereri artizanale, legitime din browser-ul victimei către site-ul web. Cererea este trimisă cu valori alese de către atacator, inclusiv cookie-urile pe care victima le-a asociat site-ului respectiv. În acest fel, site-ul știe că această victimă poate efectua anumite acțiuni pe site. Orice cerere trimisă cu aceste acreditări sau cookie-uri HTTP va fi considerată legitimă, chiar dacă victima va trimite cererea pe comanda atacatorului.[19]

Atunci când se face o solicitare la un site web, browser-ul victimei verifică dacă are cookie-uri care sunt asociate cu originea acelui site și care trebuie trimise cu cererea HTTP. Dacă da, aceste cookie-uri sunt incluse în toate solicitările trimise pe acest site. Valoarea cookie-ului conține în mod obișnuit date de autentificare și cookie-urile reprezintă sesiunea utilizatorului. Acest lucru este făcut pentru a oferi utilizatorilor o experiență perfectă, astfel încât aceștia nu trebuie să se autentifice din nou pentru fiecare pagină pe care o vizitează. Dacă site-ul aprobă cookie-ul de sesiune și consideră că sesiunea de utilizator este încă validă, un atacator poate folosi CSRF pentru a trimite cereri ca în cazul în care victima le trimitea. Site-ul web nu poate face distincția între cererile trimise de către atacator și cele trimise de victimă, deoarece cererile sunt trimise întotdeauna din browser-ul victimei cu propriul lor cookie. Un atac CSRF profită pur și simplu de faptul că browser-ul trimite automat cookie-ul la site-ul web cu fiecare cerere.[18], [19]

Solicitarea de falsificare a site-ului va fi eficientă numai dacă victima este autentificată. Acest lucru înseamnă că victima trebuie să fie conectată pentru ca atacul să reușească. Deoarece atacurile CSRF sunt folosite pentru a ocoli procesul de autentificare, pot exista unele elemente care nu sunt afectate de aceste atacuri, chiar dacă nu sunt protejate împotriva acestora, cum ar fi conținutul accesibil publicului. De exemplu, un formular public de contact pe un site web este sigur de CSRF. Astfel de formulare HTML nu necesită ca victima să aibă privilegii de transmitere a formularului. CSRF se aplică numai în situațiile în care o victimă este capabilă să efectueze acțiuni care nu sunt accesibile tuturor.[18], [19]

Metode de prevenire a vulnerabilităților de tip Cross-site Request Forgery:

Cookie-uri postate de două ori: această metodă de apărare constă în introducerea unui câmp de introducere a datelor secret care să conțină valoarea actuală a ID-ului de sesiune a utilizatorului sau o altă valoare securizată generată aleator într-un cookie al clientului, pentru orice formular folosit la transmiterea datelor sensibile. Când formularul este postat, serverul aplicației va verifica dacă valoarea cookie-ului din formular coincide cu cea din antetul HTTP al cererii, în caz contrar cererea va fi ignorată ca și invalidă și se va loga ca potențial atac. Această metodă se bazează pe faptul că atacatorul nu știe valoarea cookie-ului de sesiune al utilizatorului, dacă prin altă metodă acesta reușește să afle valoarea aceasta, strategia de apărare prezentată nu va avea success și atacatorul va putea afla valoarea. [16], [17], [19]

Number Used Once (Nonce) unic pentru formular: este probabil cea mai folosită metodă de apărare împotrivă CSRF și constă în construirea fiecărui formular folosind un câmp ascuns care conține un nonce, obținut folosind un generator pseudoaleator de numere securizate prin criptare, pentru a nu fi vulnerabil la atac. Când serverul aplicației primește valorile parametrilor formularului că făcând parte dintr-o cerere HTTP POST, va compara valoarea nonce-ului cu valoarea stocată în memorie și va ignora cererea dacă valorile acestora diferă de cea stocată în memorie sau dacă valoarea number used once a expirat. [16], [17], [19]

Cererea credențialelor de autentificare: această metodă le cere utilizatorilor autentificați să reintroducă parola corespunzătoare sesiunii în care sunt autentificați ori de câte ori fac o tranzacție sensibilă. Acesta strategie este des întâlnită în aplicațiile web în cadrul cărora tranzițiile de o natură sensibilă se întâmplă rar (cel mai adesea fiind schimbări ale informațiilor de pe profilul utilizatorului). [16], [17], [19]

Cookie-urile sunt intrinsec vulnerabile la CSRF deoarece sunt trimise automat cu fiecare cerere. Acest lucru permite atacatorilor să execute cu ușurință solicitările rău intenționate care conduc la CSRF. Deși atacatorul nu poate obține organismul de răspuns sau cookie-ul în sine, pot efectua acțiuni cu drepturile ridicate ale victimei. Impactul vulnerabilității CSRF este legat de privilegiile victimei. În timp ce recuperarea de informații sensibile nu este principalul scop al unui atac CSRF, modificările de stare pot avea un efect negativ asupra aplicației web exploatate.[18], [19]

Din fericire, este ușor să testați dacă site-ul web sau aplicația web este vulnerabil la CSRF și la alte vulnerabilități, executând o scanare web automată utilizând un scaner de vulnerabilitate.

Platforma WordPress

WordPress este un sistem open-source, dinamic, de management al conținutului (CSM) care este folosit pentru a propulsa milioane de situri web, aplicații web și bloguri. În prezent, propulsează mai mult de 34% din primele 10 milioane de situri web de pe Internet.[6] Ușurința în utilizare, extensibilitatea și comunitatea matură de dezvoltare fac din WordPress o alegere populară și sigură pentru situri web de toate dimensiunile.

WordPress este licențiat sub "Licența Publică Generală" (GPLv2 sau ulterioară), care îi oferă patru libertăți fundamentale ce pot fi considerate drept „Cartea drepturilor” WordPress:

Libertatea de a rula programul, în orice scop.

Libertatea de a studia cum funcționează programul și de a-l modifica pentru a-l face să lucreze cum vrei.

Libertatea de a redistribui.

Libertatea de a distribui copii ale versiunilor tale modificate altora. [6]

De la înființarea sa în 2003, WordPress a fost supus unei întăriri continue, prin urmare software-ul nucleului poate aborda și atenua amenințările comune de securitate, inclusiv cele din lista primelor zece identificate de Open Web Application Security Project (OWASP) ca vulnerabilități comune de securitate, care sunt discutate în acest document.[6]

Proiectul pentru securitatea aplicațiilor web deschise (Open Web Application Security Project – OWASP) este o comunitate online dedicată securității aplicațiilor web. Lista primelor zece din OWASP se concentrează pe identificarea celor mai serioase riscuri de securitate ale aplicațiilor pentru o gamă largă de organizații. Primele zece elemente sunt selectate și ierarhizate într-o combinație de estimări consensuale privind exploatarea, detectarea și impactul lor.[6]

Următoarele secțiuni pun în discuție API-urile (Interfața de Programare a Aplicației), resursele și politicile pe care WordPress le folosește pentru a întări software-ul nucleului și modulele și temele terțe în vederea unor posibile riscuri.

Injecție

În WordPress sunt disponibile un set de funcții și API-uri pentru a-i sprijini pe dezvoltatori să se asigure că nu poate fi injectat un cod neautorizat și pentru a-i ajuta să valideze și dezinfecta datele. Sunt disponibile documentații și cele mai bune practici despre cum se folosesc aceste API-uri pentru a proteja, valida sau dezinfecta datele de intrare sau ieșire în HTML, URL-uri, antete HTTP și când interacționează cu baza de date și sistemul de fișiere. În plus, administratorii pot restricționa prin filtre tipurile de fișiere care pot fi încărcate.[6]

Autentificare defectuoasă și management sesiuni

Software-ul nucleului WordPress administrează conturile și autentificarea utilizatorilor și detaliile, cum ar fi ID-ul utilizatorului, numele și parola, care sunt administrate pe partea de server, precum și cookie-urile de autentificare. Parolele sunt protejate în baza de date folosind tehnici standard de „sărare și întindere”. Sesiunile existente sunt distruse la încheierea autentificării începând cu versiunea WordPress 4.0.[6]

Scripturi cross-site (XSS)

WordPress oferă o gamă de funcții care pot ajuta la garantarea siguranței datelor furnizate de utilizatori. Utilizatorii de încredere, adică administratorii și editorii într-o instalare singulară de WordPress, și administratorii de rețea într-un multi-sit WordPress pot publica HTML sau JavaScript nefiltrat după necesități, cum ar fi în interiorul unui articol sau a unei pagini. Sunt filtrați implicit ceilalți utilizatori și conținutul trimis de ei pentru a înlătura entitățile periculoase, folosindu-se biblioteca KSES prin funcția wp_kses.[6]

Ca exemplu, echipa nucleului WordPress a observat înainte de lansarea versiunii WordPress 2.3 că funcția the_search_query() a fost folosită greșit de majoritatea autorilor de teme, care n-au filtrat ieșirea funcției pentru utilizare în HTML. Într-un caz foarte rar de rupere ușoară a compatibilității cu versiunile anterioare, ieșirea funcției a fost modificată în WordPress 2.3 pentru a fi pre-filtrată.[6]

Referință directă nesecurizată la obiect

WordPress furnizează de multe ori referințe directe la obiecte, cum ar fi identificatorii numerici unici ai conturilor de utilizator sau conținutul disponibil în URL ori în câmpurile formularelor. În timp ce acești identificatori divulgă informații directe despre sistem, permisiunile bogate și sistemul de control al accesului de la WordPress împiedică cererile neautorizate.[6]

Configurarea greșită a securității

Majoritatea operațiunilor de configurare a securității WordPress sunt limitate la un singur administrator autorizat. Setările implicite pentru WordPress sunt evaluate continuu de membrii echipei nucleului și echipa furnizează documentația și cele mai bune practici pentru a întări securitatea pentru configurarea serverelor care rulează un sit WordPress.[6]

Expunere la date sensibile

Parolele conturilor de utilizator WordPress sunt „sărate și încurcate” și bazate pe cadrul de distribuire a parolelor din PHP-ul portabil (Portable PHP Password Hashing Framework). Sistemul de permisiuni al WordPress este folosit pentru a controla accesul la informații private, cum ar fi informațiile de identificare personală ale utilizatorilor înregistrați, adresele de email ale comentatorilor, conținutul publicat ca privat etc. În WordPress 3.7, a fost inclus în software-ul nucleului un indicator de putere al parolei care să ofere informații suplimentare utilizatorilor care își setează parolele și sugestii pentru a le face mai puternice. De asemenea, WordPress are o setare opțională de configurare pentru a solicita HTTPS.[6]

Lipsă de control la accesul la nivel funcțiilor

WordPress verifică autorizarea și permisiunile corespunzătoare pentru orice cereri de acces la nivel funcțiilor înainte de executarea acțiunii. Accesul sau vizualizarea unor URL-uri administrative, meniuri și pagini, fără o autentificare corespunzătoare este integrată strâns cu sistemul de autentificare pentru împiedica accesul unor utilizatori neautorizați.[6]

Cereri falsificate cross-site (CSRF)

WordPress folosește jetoane, semne criptografice, pentru a valida intenția unor cereri de acțiune de la utilizatori autorizați pentru a asigura protecția împotriva potențialelor amenințări CSRF. WordPress oferă un API pentru generarea acestor jetoane, pentru a crea și verifica jetoane unice și temporare; jetonul este limitat la un anumit utilizator, o acțiune specifică, un obiect specific și la o anumită perioadă de timp, putând fi adăugat în formulare și URL-uri, după nevoie. În plus, toți jetonii sunt invalidați la încheierea autentificării.[6]

Folosirea componentelor cu vulnerabilități cunoscute

Echipa nucleului WordPress monitorizează îndeaproape câteva biblioteci și baze de lucru incluse în WordPress pentru a le integra cu funcționalitatea nucleului. În trecut echipa nucleului a contribuit la mai multe componente terțe pentru a le face mai sigure, precum actualizarea pentru a repara o vulnerabilitate cross-site în TinyMCE în WordPress 3.5.2. Dacă este necesar, echipa nucleului poate decide să ramifice sau să înlocuiască componentele externe critice, de exemplu, când biblioteca SWFUpload a fost înlocuită oficial cu biblioteca Plupload în 3.5.2, echipa de securitate a pus la dispoziție o ramificare securizată a SWFUpload pentru modulele care au continuat să folosească SWFUpload pe termen scurt.[6]

Redirecționări și trimiteri nevalidate

Sistemul WordPress de control intern al accesului și a autentificării va proteja împotriva încercărilor de a direcționa utilizatorii spre destinații nedorite sau redirectărilor automate. Această funcționalitate este, de asemenea, pusă la dispoziția dezvoltatorilor de module printr-un API, wp_safe_redirect().[6]

WPScan

WPScan este un scaner de vulnerabilitate WordPress care poate fi folosit pentru a scana instalările WordPress de la distanță pentru găsirea problemelor de securitate.[7]

Plugin-ul WPScan scanează nucleul WordPress, pluginurile și temele pentru vulnerabilități cunoscute, afișează o pictogramă din bara de instrumente Admin cu numărul total de vulnerabilități găsite, vă anunță prin e-mail când se găsesc noi vulnerabilități.

Cea mai simplă modalitate de a efectua o scanare a vulnerabilităților utilizând WPScan este să se furnizeze adresa URL a site-ului WordPress după cum urmează, trebuie înlocuită www.example.com cu adresa URL a site-ului. [7]

WPScan va încerca să găsească antete HTTP interesante, cum ar fi Server (tipul și versiunea serverului web) și X-POWERED-BY (versiunea PHP); va căuta, de asemenea, orice vulnerabilități ce pot fi exploatate. Apoi, va continua să enumerem versiunea WordPress și verifică dacă este actualizată sau dacă există vreo vulnerabilitate asociată cu numărul de versiune detectat. În plus, va încerca să detecteze tema, precum și pluginurile instalate, pentru a afla că acestea sunt actualizate și ce vulnerabilități există.[7]

Metasploit

Metasploit este un proiect de securitate IT, care furnizează informații despre vulnerabilitățile de securitate informatică și ajută în dezvoltarea testelor de securitate.

Proiectul Metasploit este cunoscut pentru instrumentele sale antilegale și de evaziune, dintre care unele sunt încorporate în platforma Metasploit.

Cel mai cunoscut subproiect al său este Platforma Metasploit open source , un instrument de concepere și execuție de exploit-uri la distanță. Alte subproiecte importante includ baza de date Opcode, arhivare de shellcode și cercetare în domeniul securității.[7], [8], [10]

Pașii de bază pentru exploatarea unui sistem care utilizează arhitectura Metasploit sunt:

alegerea și configurarea unui "exploit" (cod care intră în sistemul țintă, profitând de una din vulnerabilitățile sale, Metasploit include aproximativ 900 de exploatări diferite ale Windows, Unix / Linux și Mac OS X)

verifică dacă sistemul țintă vizat este vulnerabil la exploatarea selectată

alegerea și setarea unui payload (cod care urmează să fie executat pe sistemul țintă după ce a obținut acces la acesta)

alegerea tehnicii de criptare pentru criptarea încărcării utile, astfel încât sistemul de intrare neautorizat să nu detecteze sarcina utilă criptată executarea exploatării.[7], [8], [10]

Această abordare modulară, combinând orice fel de exploatare cu orice sarcină utilă, este avangarda principală a arhitecturii Metasploit, ameliorând atacatorii, programatorii exploatatori și încărcăturile utile.

Metasploit poate fi rulat pe Unix (inclusiv GNU / Linux, Mac OS X) și pe Windows. Include două interfețe de linie de comandă, o interfață web și o interfață grafică. Interfața web este concepută pentru a fi rulată de pe computerul atacatorului.

Pentru a alege un exploit și o sarcină utilă, sunt necesare anumite informații despre sistemul țintă, cum ar fi versiunea sistemului de operare și tipul de servicii de rețea care rulează pe acel sistem. Aceste informații pot fi obținute cu ajutorul instrumentelor de scanare port și de amprentare, cum ar fi WPScan, prezentat anterior.[7], [8], [10]

Scanerele de vulnerabilitate, cum ar fi WPScan sau Nessus, pot detecta vulnerabilitățile sistemului țintă. Metasploit poate importa date dintr-o scanare a vulnerabilităților și poate compara vulnerabilitățile identificate cu modulele de exploatare existente pentru o exploatare optimă. [2]

Implementarea soluției

Introducere

În sfera internetului, evoluția site-urilor are un efect major asupra dezvoltării serviciilor pe care le întâlnim online. Prin activitatea pe care o desfășoară site-urile pot să devină un factor important în procesul de dezvoltare economică. De la site-uri de comerț electronic, blog-uri, de socializare, informative și multe altele, aceste pot să se transforme într-o afacere de succes. Ele devin din ce în ce mai atractive din punct de vedere al conținutului dar și al accesibilității.

Site-urile web sunt zilnic supuse unor atacuri ce au ca scop furtul de informații și crearea de daune companiilor deținătoare. Cauza este faptul că aceste platforme de dezvoltare nu sunt periodic întreținute de către furnizorii de servicii și pot conține scripturi provenite din surse neverificate care, la rândul lor, deschid oportunități sau breșe de securitate ce sunt speculate de hackeri. Este adesea o provocare pentru companiile active online să se protejeze de o gamă largă de amenințări la adresa securității.

Indiferent de mărimea unei afaceri, orice site web este vulnerabil și poate deveni ținta atacurilor cibernetice. Site-urile de comerț electronic, care vând produse și servicii publicului larg, trebuie să aibă politici de securizare site foarte stricte deoarece se ocupă de informațiile personale ale clienților.

WordPress are la bază un set de coduri sursă deschisă și o echipă de programatori devotați care identifică și remediază periodic problemele de securitate. Atunci când o vulnerabilitate este descoperită, remedierea este în scurt timp lansată prin actualizări la versiunea respectivă de WordPress. De aceea este foarte importantă actualizarea la ultima versiune pentru a asigura securitatea asupra site-ului. De asemenea, este important de precizat faptul ca vulnerabilitățile de securitate se extind dincolo de nucleul WordPress către temele și plugin-urile instalate pe site. Conform unor statistici recente realizate de wpscan.org, din totalul problemelor de securitate, 52% provin din plugin-uri WordPress, 37% din nucleul WordPress si 11% din temele WordPress. [2], [7]

Scopul unui atac este de a obține accesul neautorizat asupra site-ului WordPress la nivel de administrator, fie din partea de administrare a WordPress sau din partea de server pe care este găzduit site-ul prin inserare de fișiere ori scripturi (fragmente de cod) malițioase.

Brute Force Attacks / Atacuri de tip Forță Brută, se referă la metoda de încercare repetată de a descoperi prin diverse combinații numele de utilizator și parola de acces în partea de administrare a unui site.[13]

Remote File Inclusion (RFI), se referă la procedura prin care se includ fișiere aflate pe un alt server prin exploatarea vulnerabilității metodelor de includere implementate într-o aplicație, de exemplu atunci când o pagina de pe site conține calea către un fișier care nu este bine protejat permițând un atac prin adresa URL externă.[13]

Atacurile SQL Injection, intervin atunci când atacatorul obține acces și control la bazele de date ale site-ului WordPress, având posibilitatea, printre altele, de a crea un nou cont de administrator sau de a insera legături către site-uri malițioase.[13]

Cross-Site Scripting (XSS), reprezintă peste 80% dintre vulnerabilitățile de securitate întâlnite în internet și sunt frecvente în plugin-urile WordPress. Atacatorul găsește o cale de a atrage victima prin afișarea unei pagini web cu scripturi nesecurizate fără ca aceasta să știe, urmând apoi să fure datele din browser-ul utilizat, de exemplu prin completarea unui formular cu date personale.[13]

Malware, prescurtarea de la malicious software, software rău intenționat, este codul  injectat în fișierele unui site web pentru a avea acces neautorizat asupra acestuia, cu scopul de a obține informații sensibile sau direcționări către pagini web nedorite.[13]

Realizarea studiului de caz

Platforma WordPress

WordPress este o platformă de tip sursă deschisă, adică permite accesul utilizatorilor să acționeze liber asupra procesului de producție sau dezvoltare, acest proces este abreviat în limba engleză CSM (content management system). Platforma WordPress este scrisă în limbajul de programare PHP, folosind pentru gestionarea bazelor de date sistemul MySQL. Dispune de un sistem de șabloane scrise în limbajele de programare HTML și CSS. Datorată simplității și multitudinii de plugin-uri care pot modifica funcționalitatea WordPress-ului, acesta se poate transforma în aproape orice fel de tip de site aducând astfel un avantaj major.

Pe internet sunt aproximativ 1.9 miliarde de site-uri din care 32.5% sunt WordPress, deci platforma WordPress se regăsește aproximativ pe 617.5 milioane de site-uri din întreaga lume[10].

Crearea site-ului de comerț electronic utilizând platforma WordPress

Pasul 1: Instalare XAMPP

Se descarcă arhiva XAMPP și se instalează utilitarul XAMPP, după ce instalarea este finalizată, se deschide aplicația utilitarului și se apasă butonul Start All din fereastra Manage Servers pentru a porni serverul local, cum se poate observa și în Figura 8.

Figura 8.Xampp

Pasul 2: Pregătirea bazei de date

Crearea și gestionarea bazei de date MySQL s-a realizat cu aplicația phpMyAdmin din utilitarul XAMPP. Se pot utiliza și alte interfețe pentru managementul bazelor de date MySQL.

Bazele de date sunt folosite pentru stocarea informațiilor în vederea furnizării ulterioare în funcție de solicitarea primită. MySQL este un sistem de baze de date funcțional independent. În PHP există funcții pentru toate operațiile executate asupra bazelor de date MySQL.

Administrarea MySQL se poate face din linia de comanda sau folosind browserul și accesând aplicația numită phpMyAdmin, scrisă în limbajul de cod PHP.

Cele mai uzuale operații cu bazele de date sunt prezentate în Tabelul 3:

Tabelul 3. Comenzi uzuale folosite pentru baza de date

Pentru a crea baza de date s-au urmat pașii ulteriori:

se încarcă pagina phpMyAdmin în browser-ul web: http://localhost/phpmyadmin

se accesează meniul Database, iar la opțiunea Create database se tastează un nume pentru noua bază de date

la secțiunea Collation se alege utf8_romanian_ci

se apasă butonul Create, iar baza de date va fi creată și se va regăsi în lista din stânga după cum se poate observa în Figura 9.

după ce baza de date este creată, ea se poate accesa apăsând butonul din dreptul ei din partea stânga și ulterior se pot face modificări

ulterior baza de date se v-a popula prin rularea codului regăsit în WordPress

Figura 9.Interfața phpMyAdmin pentru crearea bazei de date

Pasul 3: Instalarea platformei WordPress

Etapele necesare instalării platformei WordPress sunt următoarele:

se va descărca arhiva wordpress de pe site-ul https://ro.wordpress.org/download/

în arhivă se găsește un director cu numele wordpress, în locația utilitarului XAMPP se mută directorul și se redenumește, numele lui reprezintă numele site-ului ce urmează a fi creat, conținutul arhivei este prezentat în Figura 10.

Figura 10. Conținutul arhivei WordPress

instalarea propriu-zisă se realizează accesând site-ul http://localhost/nume_director/, unde nume_director este numele care s-a ales pentru site

după cum se observă în Figura 11, următorul pas este să se completeze datele de conectare la baza de date creată anterior, acest pas se realizează prin accesarea fișierului wp-config.php din WordPress

Figura 11. Introducerea informațiilor pentru conectarea la baza de date

după ce se realizează conexiunea la baza de date începe instalarea efectivă, se vor adăuga informațiile privind site-ul precum titlu, utilizatorul, parola, adresa de email

ultima etapa permite log-area ca și administrator pe site-ul creat

Pasul 4: Etapele premergătoare creări site-ului de comerț electronic

se șterg toate înregistrările curente, aceasta etapă se realizează din meniul Articole accesând butonul Toate Articolele respectiv Ștergere

se șterg toate paginile deja create, această etapă se realizează din meniul Pagini accesând butonul Toate Paginile respectiv Ștergere

tema curentă este modificată cu o temă potrivită site-ului de comerț electronic, din meniul Aspect accesând butonul Teme se caută o temă potrivită, se descarcă și ulterior instalează ca temă curentă

Pasul 5: Instalarea plugin-ului WooCommerce

instalarea plugin-ului se realizează accesând meniul Module accesând butonul Adaugă Modul, iar ulterior Instalare

după ce plugin-ul este instalat el trebuie activat, acest pas se realizează apăsând butonul Activați Modul

se vor face configurări cum ar fi: locați magazinului online, moneda pentru plăți, tipul de produse ce urmează a fi puse în vânzare, configurările se realizează din secțiunea Setări

din secțiunea Plăți se vor configura metodele de plată online și offline

metodele de livrare și respectiv costul lor se selectează din secțiunea Livrare

Pasul 6: Instalarea plugin-ului Slider Revolution

Slider Revolution este un plugin pentru aspectul conținutului site-ului. Acest plugin este unul din cele mai cunoscute plugin-uri WordPress și este întâlnit pe aproximativ 4 milioane de site-uri din întreaga lume, conform site-ului oficial Slider Revolution[11]. Prin instalarea acestui plugin s-a realizat o breșă de securitate ce urmează a fi exploatată ulterior.

S-a descărcat arhiva plugin-ului de pe site-ul https://www.downloadfreethemes.co/slider-revolution-v5-4-8-1-responsive-wordpress-plugin/, iar ulterior s-a încărcat și activat pe site-ul WordPress.

Figura 12. Plugin-ul Slider Revolution

După realizarea etapelor de instalare a plugin-urilor s-a revenit la editarea site-ului precum activarea unei teme specifică unui site de comerț electronic, s-a ales tema PlugShop după cum se poate observa în Figura 13. Numele ales pentru site este MusicBeats, deoarece site-ul comercializează produse audio. S-au încărcat câteva produse pe site după cum se poate observa în Figura 14.

Site-ul de comerț electronic MusicBeats, este un site demonstrativ pentru testare, nicio comandă nu va fi onorată.

Versiunea de WordPress folosită pentru crearea site-ului este WordPress 5.1.1, lansată în 13 Martie 2019.

Figura 13. Tema Plug Shop

Figura 14. Produsele adăugate pe site

Spargerea site-ului WordPress folosind WPScan și Metasploit

Se vor urmări următoarele aspecte:

utilizarea WPScan pentru a găsi vulnerabilități respectiv a le exploata eficient

examinarea vulnerabilităților întâlnite

exploatarea vulnerabilităților dezvăluite de WPScan

enumerarea utilizatorilor respectiv a conturilor utilizate pe site

forțarea brută a parolei utilizatorului admin al site-ului

utilizarea Matasploit pentru a exploata vulnerabilitatea critică a plugin-ului descoperită precedent de WPScan

WPScan

WPScan este un scaner de vulnerabilitate WordPress gratuit, pentru utilizare non-comercială, scris pentru profesioniștii din domeniul securității și întreținătorii de bloguri pentru a testa securitatea site-urilor lor.[12]

S-a descărcat arhiva WPScan de pe site-ul https://wpscan.org/, apoi s-au urmat următorii pași pentru instalarea și rularea scaneru-lui din linia de comanda a terminalului:

sudo gem install -n /usr/local/bin wpscan, această comandă începe instalarea programului WPScan

wpscan – update, este comanda folosită pentru actualizarea bazei de date a vulnerabilităților WPScan, primul lucru pe care trebuie să-l urmărim este să ne asigurăm că baza de date a vulnerabilităților WPScan este actualizată, se tastează comanda în terminal pentru a actualiza baza de date

wpscan -h, această comandă afișează în terminal opțiunile pe care le putem utiliza, după cum se observă în Figura 15.

.

Figura 15. Comenzi WPScan

wpscan –url http://localhost/licenta/, rularea acestei comenzi ne arată conținutul site-ului și toate vulnerabilitățile regăsite pe site care pot fi exploatate ulterior pentru spargerea site-ului, după cum se observă în Figura 16, s-au descoperit 19 vulnerabilități

Figura 16. Vulnerabilitățile descoperite de WPScan

S-au descoperit 19 vulnerabilități prezente pe site-ul creat, după cum urmează:

Authenticated JavaScript File Upload

RSS and Atom Feed Escaping

HTML Language Attribute Escaping

'newbloguser' Key Weak Hashing

MediaElement Cross-Site Scripting (XSS)

Application Denial of Service (DoS) (unpatched)

Remove localhost Default

Use Safe Redirect for Login

Escape Version in Generator Tag

Authenticated Arbitrary File Deletion

Authenticated File Delete

Metasploit

Metasploit este un proiect de securitate IT, care furnizează informații despre vulnerabilitățile de securitate informatică și ajută în dezvoltarea testelor de securitate.

S-a descărcat arhiva cu conținutul platformei Metasploit de pe site-ul https://www.metasploit.com/, iar ulterior din terminal s-au rulat comenzile de instalare.

Metasploit urmărește vulnerabilitatea dovedită anterior de WPScan a plugin-ului Slider Revolution. Chiar dacă această vulnerabilitate a fost eliminată în ultima versiune apărută a Slider Revolution, sunt multe site-uri care folosesc în continuare versiunile anterioare deschizând astfel oportunitatea de a fi site-ul exploatat.

Pașii urmăriți pentru rularea Metasploit:

s-a rulat următoarea comandă în terminal pentru începerea instalării Metasploit: curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && \

msf5 > search revslider, această comandă caută și accesează plugin-ul Slider Revolution după cum se poate observa în Figura 17.

Figura 17. Instalarea Metasploit și depistarea vulnerabilității produsă de Slider Revolution

msf5 > use exploit/unix/webapp/wp_revslider_upload_execute

msf5 exploit(unix/webapp/wp_revslider_upload_execute) > show options

Figura 18. Opțiunile ce se pot exploata

Următoarele comenzi vor avea ca urmare accesarea site-ului prin vulnerabilitatea găsită de WPScan a plugin-ului Slider Revolution:

set rhost http://localhost/wordpress/

set targeturi /wordpress

set payload php/meterpreter/bind_tcp

show options

Acum, pentru a obține accesul pe sistemul țintă, se rulează comanda exploit în terminal.

După ce comanda este executată, următoarele mesaje se vor afișa în terminal:

“ http://localhost/wordpress/ (Target’s IP Address Replaced) – Our payload is at /wordpress/wp-content/plugins/revslider/temp/upload“

“ http://localhost/wordpress/ (Target’s IP Address Replaced) – Calling payload…“

“Deleted oCDNSJ.php“

“Deleted ../revslider.zip“

Figura 19. Accesarea site-ului prin plugin-ul Slider Revolution

CSRF

Un atacator poate prelua orice site WordPress care are comentarii activate prin înșelăciunea unui administrator al unui blog țintă pentru a vizita un site web creat de atacator. De îndată ce administratorul victimei vizitează site-ul web rău intenționat, exploatația de tip "fractură de solicitare" (CSRF) este difuzată împotriva blogului țintă WordPress în fundal, fără ca victima să observe. Exploatarea CSRF abuzează deficiențe logice multiple și erori de dezinsecție care, atunci când sunt combinate, conduc la executarea codului la distanță și la preluarea integrală a site-ului. Vulnerabilitățile există în versiunile WordPress înainte de 5.1.1 și pot fi exploatate cu setările implicite. Comentariile reprezentând o caracteristică principală a blogurilor și fiind activate în mod implicit, această vulnerabilitatea a afectat milioane de site-uri.

S-a creat un site de test WordPress utilizând versiunea WordPress 4.8.8 lansată în 13 Decembrie 2018, urmărind pașii descriși în secțiunea 3.2.3 Crearea site-ului de comerț electronic utilizând platforma WordPress. S-a încercat rularea comentariilor HTML și pe versiunile ulterioare versiunii WordPress 5.1.1, dar fără succes.

S-au scris coduri în limbajul HTML ca și comentarii, lăsate de un utilizator neautentificat, codurile s-au rulat producând modificări pe site precum apariția ferestrelor de tip pop-up, modificarea font-ului prestabilit, direcționarea către alt site.

Codurile HTML se adaugă în baza de date exact cum sunt scrise în comentarii fără a fi blocate.

Comentariile se pot observa în baza de date din Figura 20.

Figura 20. Baza de date

Analiza costurilor

Crearea și mentenanța unui site de comerț electronic

Un site web nu este suficient să îl cumperi sau să îl construiești, site-ul trebuie întreținut periodic astfel încât să rămână eficient. Un website, mai ales care aduce câștiguri, va presupune mereu costuri pe termen lung, aceste costuri fiind cunoscute drept costuri de mentenanța. Costurile de mentenanța sunt relative și diferă de la afacere la afacere, de la manager la manager, însă se va prezenta în cele ce urmează o listă cu principalele costuri care se aplică tuturor magazinelor virtuale sau site-urilor de prezentare.

WordPress a ajuns cea mai populară platformă folosită pentru crearea de bloguri și site-uri de prezentare pentru că este ușor de folosit dar și pentru că este extrem de flexibilă, în primul rând prin intermediul funcționalităților puse la dispoziție de miile de plugin-uri adiționale, majoritatea gratuite. Din păcate, această popularitate combinată cu faptul că sursele WordPress sunt publice, pentru că este o platforma cu sursă deschisă, a făcut că WordPress să fie cea mai atacată platformă de către hackeri.

Principalele categorii de costuri pe termen lung ale un website sunt:

domeniul

găzduirea web

mentenanța

promovarea

Domeniul poate reprezenta sau nu o cheltuială pe termen lung, în funcție de alegerea pentru care se optează, pentru că, spre exemplu, domeniile .ro se plătesc pe viață, fără cheltuieli ulterioare, iar domeniile cu extensiile .com, .net, .org, .info, etc., implică și costuri anuale. Domeniile nu reprezintă o cheltuială prea mare, pentru că, la majoritatea firmelor care vând așa ceva, prețurile nu trec de 12 euro pe an, iar în cazuri mai bune, se poate plăti chiar nouă euro pe an. Se recomandă totuși domeniile .ro, pentru ca nu implică costuri pe termen lung si generează rezultate mai bune în motoarele de căutare autohtone.[20], [22], [24], [25]

Găzduirea web (hostingul) poate reprezenta o adevărată cheltuiala pentru utilizator, dacă dispune de un site web popular. Desigur, atunci când situl web este vizitat frecvent și dispune de o audiență bună, productivitatea firmei creste, însă nu este o regula. Uneori, chiar și cu o audiență mică, site-ul poate face un consum mare de resurse, dacă nu a fost realizat bine de firma de web design la care s-a apelat. La modul general, costurile găzduirii web sunt direct proporționale cu audiența pe care site-ul o are, iar prețurile pornesc chiar de la un euro pe luna, în cazul site-urilor cu un consum scăzut de resurse, ajungând până la câteva sute de euro pe luna, în cazul site-urilor care au nevoie de un întreg server în spate. Un site simplu de prezentare sau un blog nu va implica, pentru găzduirea web, costuri mai mari de cinci euro pe luna, dar magazinele virtuale pot trece de 50 euro pe luna.[21], [23], [24], [25]

Așa cum sa precizat anterior, un site web cere mai mult decât sa fie publicat pe un nume de domeniu, are nevoie de întreținere și atenție din partea managerului. In acest caz, de cele mai multe ori, o firmă care se respectă, și bineînțeles, îi permite bugetul, alege să plătească o firma de web design, astfel, toate sarcinile de mentenanță reprezintă responsabilitatea unei echipe de profesioniști. Costurile pentru mentenanță variază în funcție de complexitatea site-ului și eventualele pretenții ale managerilor, uneori, poate ajunge chiar la câteva sute de euro pe luna. [22], [23], [25]

Găzduirea, domeniul, crearea efectivă a site-ului și mentenanța, vor asigura doar condițiile propice pentru vânzări, însă este nevoie și de o promovare frecventă a site-ului, aici putem aminti de promovare SEO (Search Engine Optimization), cea în motoarele de căutare, AdWords, afișe publicitare, etc.

Optimizare pentru motoare de căutare sau Search Engine Optimization (SEO), este un proces de perfecționare (favorizare) a vizibilității site-urilor web sau paginilor web în cadrul ordonării rezultatelor căutării în lista făcută de motorul de căutare.

AdWords de la Google este un serviciu publicitar pentru companiile care doresc să afișeze anunțuri pe Google și în rețeaua de publicitate, programul AdWords permite firmelor să stabilească un buget pentru publicitate și să plătească numai atunci când aceștia fac clik pe anunțuri.

De regulă, pe termen lung, cei mai mulți bani se cheltuiesc pe promovare, pentru ca internetul a devenit foarte stufos și bogat, este nevoie de resurse financiare pentru a te putea impune pe piața online. În funcție de modalitatea de promovare și agresivitatea cu care se realizează, costurile pot varia de la câteva sute de euro pe lună pentru o campanie AdWords, sau câteva zeci de euro pe lună, pentru optimizare SEO. Cu cât se alocă mai mulți bani promovării, cu atât rezultatele vor fi mai bune, ceea ce totuși nu reprezintă o regula.[21], [23], [24], [25]

După cum se poate observa în Tabelul 4, costurile de creare și mentenanță pot varia de la aproximativ 23 dolari pe oră, pâna la 200 dolari pe oră, conform studiului realizat de site-ul www.webhostingsecretrevealed.net, "Ancheta pieței. Costul creării unui site web: Estimarea bazată pe Top Freelancers Top 400 UpWork".[28]

Tabelul 4. Costurile de creare și mentenanță

După cum se poate observa în Figura 21, cea mai mare valoare plătită pentru un domeniu a fost înregistrată în acest an, în data de 19.06.2019, cu valoarea de 30 de milioane de dolari, pentru site-ul Voice.com.[26], [27]

Figura 21. Raportul vânzării domeniilor pe anul 2019 [27]

Rezultate experimentale

Rezultatele experimentale sunt obținute pe baza planului de testare, care include testarea vulnerabilității platformei WordPress. Prin urmare, o să expun rezultatele obținute și instrumentele folosite pentru obținerea acestora.

Ca prim pas, site-ul de comerț electronic a fost creat utilizând platforma WordPress, pentru a îi testa vulnerabilitățile, în special cele ce țin de securitatea site-ului. După cum am precizat anterior, pentru a evidenția vulnerabilitățile platformei, s-a pus accentul pe cele mai întâlnite probleme curente ce țin de securitate, precum, spargerea contului administratorului, respectiv aflarea parolei, ceea ce duce la preluarea site-ului de către atacator și accesul acestuia la baza de date.

O alta problemă des întâlnită, abordată anterior, este redirecționarea vizitatorilor spre alte pagini web țintă, infectate de către atacatori cu scopul de a avea acces la informațiile confidențiale ale acestora, precum contul de utilizator, parola, adrese de email, conturi bancare, etc., pentru a fi folosite de atacatori în scopuri personale.

Pentru realizarea atacurilor și testarea vulnerabilităților s-au folosit scanere speciale pentru testare precum WPScan și MetaSploit.

Aceste etape s-au realizat conform următoarei figuri:

Figura 22. Planul de realizare

Identificarea vulnerabilităților

Identificarea vulnerabilităților s-a realizat, după cum s-a precizat și anterior, cu ajutorul scanerului de vulnerabilitate WPScan. Printre care se regăsesc vulnerabilitățiile: Authenticated JavaScript File Upload, RSS and Atom Feed Escaping, HTML Language Attribute Escaping, newbloguser' Key Weak Hashing, MediaElement Cross-Site Scripting (XSS), Application Denial of Service (DoS) (unpatched), Remove localhost Default, Use Safe Redirect for Login, Escape Version in Generator Tag, Authenticated Arbitrary File Deletion, Authenticated File Delete.

Aceste vulnerabilități pot fi exploatate de către atacatorii experimentați și ca urmare site-ul vizat poate fi preluat de către aceștia și folosit în scopuri rele.

Figura 23. Identificarea vulnerabilităților

În Figura 24 se poate observa vulnerabilitățile cauzate de plugin-ul Slider Revolution. Site-ul țintă este vulnerabil la două exploatații critice, prin care se pot realiza cu ușurință atacuri:

Local File Disclosure (Includerea fișierelor locale)

Shell Upload

Figura 24. Vulnerabilitatea cauzată de Slider Revolution

wpscan –url http://localhost/licenta/ –enumerate u, prin rularea acestei comenzi sunt identificați utilizatorii site-ului, Figura 25, după cum se poate vedea, instrumentul de enumerare al utilizatorului WPScan a identificat două conturi de utilizator, în special cel mai important: admin (numele de admin prestabilit rămas neschimbat)admin este încă folosit. Cel de-al doilea cont poate avea privilegii de administrare, poate fi folosită forțarea brută simultan, dacă este necesar.

Figura 25. Identificarea utilizatorului admin

wpscan –url http://localhost/licenta/ –password-attack wp-login –passwords /Users/ancaandonie/Desktop/wpscanteam-wpscan-49b1829/lib/wpscan/wpw_pwd_dictionary.txt, rularea acestei comenzi realizează atacul brut asupra conturilor utilizatorilor site-ului. În fișierul text wpw_pwd_dictionary.txt, se regăsesc peste un milion de parole unde sunt căutate combinațiile ce se potrivesc cu parolele utilizatorilor găsiți de WPScan. Când o parolă este găsită atunci ea este afișată în terminal împreună cu numele utilizatorului, cum arată și exemplul din Figura 26, putem observa cum se caută parola pentru următorul utilizator. S-au găsit doi utilizatori, administratorul site-ului -ancaandonie cu parola 1234, iar pentru al doilea utilizator -a, este un utilizator care a lăsat comentarii pe site dar nu s-a înregistrat cu un cont, se observă cum se realizează căutarea parolei.

Figura 26. Atacul brut asupra utilizatorilor site-ului

După cum se poate observa în Figura 27, pe site s-au adăugat trei utilizatori: admin, ancaandonie și anca, primi doi fiind administratorii site-ului iar ultimul utilizator cu rolul de manager. Se vor repeta pașii anteriori prin rularea codurilor în terminal pentru a determina parola utilizatorilor.

Figura 27. Utilizatorii site-ului WordPress

Exploatarea vulnerabilităților găsite

În urma vulnerabilităților găsite, după cum s-a demonstrat anterior, s-au descoperit conturile, respectiv parolele utilizatorilor, inclusiv administratorului site-ului, iar astfel, site-ul a putut fi preluat de atacator. După cum se poate observa și în Figura 28:

Figura 28. Dezvăluirea contului și a parolei

Figura 29. Fereastră pop-up apărută după rularea codului HTML într-un comentariu

Figura 30. Comentariu apărut pe site după rularea codului HTML cu succes

Există multe moduri diferite în care un site este atacat și, în unele cazuri, atacul nu este vizibil. Primele semne ale unui site atacat ar putea fi încărcarea lentă, paginile goale sau redirecționările către un alt site web. O altă indicație ar putea fi, de fapt, un pop-up care să spună că ai fost atacat sau apariția pozelor și a cuvintelor vulgare peste conținutul site-ului. În orice moment în care securitatea site-ului este compromisă, Google afișează un anunț către utilizatorii care accesează site-ul, prin care aceștia sunt înștiințați că site-ul vizitat poate fi sau chiar este atacat.

Dacă încercăm să deschidem un site care a fost atacat, este foarte probabil ca browser-ul să afișeze un avertisment, prin care ne atenționează că probabil site-ul a fost atacat. Acesta este primul semn care ne spune că site-ul a fost ținta atacatorilor. Aceste tipuri de avertismente vor apărea, de obicei, deoarece Google Chrome, Safari și alte browsere observă că site-ul a fost accesat de un atacator iar mai apoi a fost infectat cu programe malițioase, cu intenția de a aduce daune persoanelor, respectiv computerelor care accesează site-ul respectiv.

Unele companii de găzduire web rulează scanări zilnice și anunță atunci când site-ul a fost atacat sau este infectat cu malware. Dacă scanarea arată acest lucru, contul personal poate fi suspendat temporar, iar utilizatorul va fi contactat prin mail sau chiar telefonic. După ce notificarea se realizează, este responsabilitatea persoanei vizate să curețe fișierele compromise. Uneori, Google va observa existenta fișierelor malware pe site, și va oferi o notificare de tipul „acest site ar putea fi infectat” în lista de rezultate. În funcție de severitatea atacului, Google poate decide să nu mai afișeze site-ul în lista de rezultate. O modalitate de a verifica și de a confirma că acest lucru nu se întâmplă și în cazul site-ului personal, este să se verifice secțiunea „Probleme de securitate” din Webmaster Tools, dacă exista probleme de securitate, acestea vor fi listate aici.[31]

Un alt mod de a afla că site-ul a fost atacat este înștiințarea de la vizitatori, care pot semnala anumite probleme. Astfel, problemele semnalate trebuie luate în considerare și ulterior verificate de către administratorul site-ului, pentru a se asigura că site-ul este activ și nu va fi penalizat de motoarele de căutare.

Dacă s-au primit una sau mai multe notificări din cele de mai sus, trebuie schimbate toate parolele, să fie contactată echipa de suport a companiei care realizează găzduirea site-ului și să se scaneze calculatorul folosit pentru accesarea site-ului, pentru a depista problemele existente.

Este sugerat să se înceapă cu modificarea tuturor parolelor pentru toate conturile. Precum, schimbarea parolei de la Panoul de Control, parolele adreselor de email, parola pentru conectare la site dar și parolele FTP, Protocolul pentru transfer de fișiere (File Transfer Protocol), este un protocol, set de reguli, utilizat pentru accesul la fișiere aflate pe servere din rețele de calculatoare particulare sau din Internet.[30] Dacă aceste parole au fost utilizate și pentru alte site-uri, de exemplu pentru contul de pe Facebook, ar trebui schimbate și acolo. Apoi ar trebui contactată echipa de suport a companiei de găzduire, aceștia ulterior vor realiza o scanare pentru a detecta fișierele de tip malware.

Atacurile unui site pot proveni chiar și de pe calculatorul personal. Dacă acesta este virusat, ar putea capta datele utilizare pentru a se efectua log-area pe site. Pe lângă captarea acestor date, mai poate fi instalat un cod de atac “backdoor”, care reprezintă o portiță pentru programele malware și a virușilor care vor infecta ulterior, site-ul web personal. Pentru a preveni acest lucru, ar trebui efectuată o scanare completă a computerului personal. Dacă sunt fișiere infectate, este sugerat să se respecte recomandările programului antivirus utilizat, iar dacă scanarea spune că nu există viruși sau alte probleme, ar trebui apelat și la o companie specializată de securitate pentru a curata fișierele compromise de atacatori.

Pașii ce trebuie realizați pentru a curăța un site WordPress atacat, sugerați de aplicația Securi, care este specializată pe securitate, sunt: identificarea atacului, curățarea site-ului și proceduri post atac. [31]

Acești pași sunt prezentați după cum urmează:

Pasul 1 – Identificați atacul:

-site-ul trebuie scanat prin programele de securitate

-trebuie verificată integritatea fișierelor de bază

-trebuie verificate fișierele modificate recent

-trebuie verificate paginile de diagnoză

Pasul 2 – Curățarea site-ului:

-trebuie curățate fișierele atacate de pe site

-trebuie curățate tabele atacate ale bazei de date

-trebuie securizate conturile de utilizator

-îndepărtați căile de acces "backdoor" ascunse

-eliminați avertismentele malware

Pasul 3 – Post atac:

-actualizare și resetare

-măriți securitatea WordPress

-setarea realizării copiilor de rezervă

-scanați computerul

-instalați Firewall-ul website-ului. [31]

Concluzii

Serviciile oferite de platforma WordPress atrag din ce în ce mai mulți utilizatori din toate colțurile lumii. Astfel, este de departe una dintre cele mai utilizate și cunoscute platforme din lume, de tip sursă deschisă care utilizează sistemul de gestionare a conținutului. Odată cu acapararea pieței, din ce în ce mai multe afaceri sunt mutate online, profitând de ușurința în utilizare oferită de WordPress. Mulțimea de site-uri de comerț electronic, bloguri, rețele de socializare, site-uri de știri, și multe altele, nu fac decât să atragă considerabil și fraudele electronice. Creșterea gamei de servicii web a condus la creșterea numărului de clienți, iar pentru satisfacerea nevoilor și fidelizării acestora, este nevoie de o continuă dezvoltare.

Odată cu apariția noilor tehnologii și dezvoltării continue a acestora, securizarea sistemelor împotriva atacurilor devine un factor important și complex în sfera internetului. Metodele de securitate adoptate promit să asigure securitatea, confidențialitatea și integritatea datelor personale, însă și acestea la rândul lor pot avea anumite lacune, care pot afecta ulterior utilizatorii.

Astfel, în urma studiului de caz realizat ce vizează platforma WordPress, se poate afirma faptul că aceasta utilizează diverse metode de securitate pentru o protecție cât mai eficientă a datelor. Însă, cu toate acestea, în urma studiului realizat s-a demonstrat faptul că fără o protecție sporită adusă de alte sisteme și aplicații specializate în securitate, și fără a instala și utiliza ultima versiune apărută cât de repede aceasta se lansează, utilizatorii platformei riscă să fie ținta atacatorilor care profită de aceste vulnerabilități.

Așadar, în urma analizei făcute asupra uneia dintre cele mai cunoscute platforme se poate afirma că acesta prezintă vulnerabilități ce pot fi exploatate. Prezența vulnerabilităților crește riscul apariției unui atac asupra aplicației, care poate duce la pagube considerabile pentru utilizatori.

Pagubele produse în urma unui atac influențează în mod direct clientul care utilizează această platformă dar și utilizatorii care vizitează site-ul vizat de atacator, deoarece datele acestora sunt compromise și nu se mai poate vorbi despre confidențialitatea lor.

De aceea, clientul trebuie să fie conștient de faptul că și în cazul acestei platforme de conținut, pot exista riscuri precum în celelalte, dacă nu sunt luate măsuri sporite de securitate, și chiar și atunci atacatorii experimentați pot găsi breșe care aduc vulnerabilitate, datorate chiar și unui plugin neactualizat la ultima versiune apărută, după cum s-a demonstrant în aceasta lucrare de diplomă.

În concluzie, din întreg studiu se desprinde o idee clară și anume aceea că nu există o garanție a securității datelor totale, mici portițe care duc la vulnerabilități, cauzate de neatenția sporită a utilizatorilor, pot cauza ulterior daune majore produse de atacatori.

Chiar dacă securitatea nu este totală, adoptarea metodelor de securitate și a certificatelor de securitate, a actualizării constante a aplicațiilor, temelor și plugin-urilor folosite, este esențială pentru evitarea unor atacuri.

Pentru a evita producerea acestor atacuri și pentru diminuarea vulnerabilităților propun ca soluție înștiințarea utilizatorilor cât mai concisă a principalelor cauze de fraudare electronică și prezentarea metodelor de prevenție ce sunt necesare a fi utilizate.

În cazul utilizatorilor platformei WordPress este necesar să fie realizați pașii următori pentru a evita îndeplinirea atacurilor cu ușurință: utilizați o parolă puternică, instalați un plugin de securitate WordPress, activați autentificarea WordPress cu doi factori, păstrați site-ul WordPress actualizat, stabiliți permisiunile corecte pe serverul utilizat, rulați programele de scanare malware constant, activați protecția forțată a WordPress (BruteForceAttack), și nu în ultimul rând să se realizeze un backup al datelor constant, pentru a avea un plan sigur de salvare, în cazul în care un atac s-a realizat cu succes.

Bibilografie

Ioan-Cosmin Mihai, Costel Ciuchu și Gabriel-Marius Petrică, "Provocări actuale în domeniul securității cibernetice – impact și contribuția României în domeniu", Studiul nr.4, Institutul European din Romania, 2017.

Site-ul oficial WordPress https://wordpress.org/about/

Centrul Național de Răspuns la Incidente de Securitate Cibernetică, https://cert.ro

https://www.nato.int/docu/review/2011/11-september/Cyber-Threads/RO/index.htm

http://www.worldit.info/articole/securitatea-aplicatiilor-web-a-cele-mai-intalnite-vulnerabilitatiatacuri-si-metode-de-aparare-impotriva-lor/ (accesat 7.06.2019)

https://ro.wordpress.org/about/security/ (accesat 7.06.2019)

https://www.tecmint.com/wpscan-wordpress-vulnerability-scanner/ (accesat 7.06.2019)

https://blog.sucuri.net/2019/03/stored-xss-patched-in-wordpress-5-1-1.html (accesat 28.06.2019)

https://www.cloudways.com/blog/10-wordpress-security-issues-how-to-fix-them/

https://w3techs.com/technologies/overview/content_management/all

https://neliosoftware.com/blog/curiosities-and-statistics-about-wordpress-you-should-know/ (accesat 5.06.2019)

https://revolution.themepunch.com/ (accesat 6.06.2019)

https://wpscan.org/ (accesat 6.06.2019)

http://www.daweb.ro/cat-este-de-sigur-un-site-wordpress (accesat 6.06.2019)

https://www.comunicatii.gov.ro//wp-content/uploads/2016/02/MCTI_-_Ghid_website_2008.pdf (accesat 28.06.2019)

http://slides.com/alexcoman/cross-site-request-forgery#/ (accesat 28.06.2019)

http://yehg.net/lab/pr0js/view.php/A_Most-Neglected_Fact_About_CSRF.pdf (accesat 28.06.2019)

https://www.acunetix.com/blog/articles/owasp-top-10-2017/ (accesat 29.06.2019)

https://www.acunetix.com/websitesecurity/csrf-attacks/ (accesat 29.06.2019)

https://www.baboon.ro/pretul-unui-website-a-z-costurile-pentru-crearea-unui-site-web/ (accesat 01.07.2019)

https://sitexdesign.ro/mentenanta-site/mentenanta-site-urilor-wordpress/ (accesat 01.07.2019)

https://www.baboon.ro/site-pe-wordpress-7-motive-pentru-care-o-afacere-ar-trebui-sa-aiba-un-site-pe-aceasta-platforma/ (accesat 01.07.2019)

https://www.webhostingsecretrevealed.net/ro/blog/web-business-ideas/website-cost/ (accesat 01.07.2019)

https://adwords.google.com/intl/ro_ro/home/ (accesat 01.07.2019)

http://www.cursuri-seo.ro/2013/06/seo-ce-este-si-la-ce-ajuta.html (accesat 01.07.2019)

https://namebio.com/top-100-domain-name-sales-all-time (accesat 01.07.2019)

http://www.dnjournal.com/ytd-sales-charts.htm (accesat 01.07.2019)

https://www.webhostingsecretrevealed.net/ro/blog/web-business-ideas/website-cost/#research (accesat 01.07.2019)

https://www.namebox.ro/blog/crezi-ca-site-ul-tau-este-atacat-de-hackeri/ (accesat 01.07.2019)

https://tools.ietf.org/html/rfc959 (accesat 02.07.2019)

https://sucuri.net/guides/how-to-clean-hacked-wordpress/ (accesat 02.07.2019)