Proje misyonu, eklenti hata verilerinin indekslenmesini ve küratörlüğünü kitle kaynaklı hale getirmektir.
Güvenlik araştırmacılarının WordPress Eklentilerinin parmak izini almasına yardımcı olmak için tasarlanmış açık kaynaklı bir proje, geri bildirim ve katkıda bulunanlar arıyor.
Şu anda beta modunda olan WPHash, güvenlik uzmanlarının yüklü eklentileri ve güvenlik açıkları içerip içermediğini belirlemelerine yardımcı olan, kullanımı ücretsiz bir web hizmetidir.
Bu amaçla, WordPress eklentileri için 75 milyon SHA256 karma değerini endeksler – çeşitli sürümleriyle birlikte WordPress pazarında mevcut olan büyük çoğunluğu kapsar.
Proje misyonu, “WordPress eklenti güvenlik açığı verilerinin endekslenmesini ve küratörlüğünü kitle kaynaklı yapmaktır”.
Numaralandırma ve parmak izi
İsviçreli BT güvenlik şirketi Cyllective’te WPHash mimarı ve güvenlik mühendisi olan Dave Miller, “WPHash’in temel amacı, güvenlik araştırmacılarına, yüklü WordPress eklentilerinin numaralandırılması ve parmak izinin alınmasında yardımcı olan bir web hizmeti şeklinde ek araçlar sağlamaktır” diyor. Günlük Swig.
WPHash web sitesi, alfabetik bir karma dizini, bu dizin için bir arama işlevi, karmaları ve dosya yollarını aramak için deneysel bir OpenAPI özelliği ve SSS’leri içerir. Hem orijinal hem de normalleştirilmiş SHA256 sağlama toplamları dizinlenir.
En son WordPress güvenlik haberlerini yakalayın
Miller, “Araştırmacılar, peşinde oldukları eklentinin bilinen dosya yolları için WPHash’i sorgulayabilirler” diyor. “Ardından, bu dosya yollarını hedefte talep ediyorlar ve daha sonra WPHash’te eklenti meta verilerini aramak için kullandıkları SHA256 karmasını hesaplıyorlar. Bu süreç, tam eklenti sürümlerini belirlemelerine ve daha fazla araştırmayla eklentinin savunmasız olup olmadığını belirlemelerine olanak tanır.
Dizine alınmış güvenlik açıkları, WPHash aracılığıyla veya WPHash GitHub deposunda bulunan ham veriler kullanılarak araştırmacıların kendi araçlarıyla sorgulanabilir.
Miller, Reddit’te WPHash’in, güvenlik açığı verileri ve araçlarının şu anda “daha küratörlü ve daha eksiksiz” olduğunu kabul ettiği Automattic WordPress güvenlik tarayıcısı WPScan’a doğrudan bir rakip olmayı amaçlamadığını söyledi.
Yine de WPScan, Miller’ın kitle kaynaklı güvenlik açığı bilgilerine “API hız sınırlarına takılmadan kendi araçlarımda” özgürce erişme tercihini yerine getiriyor.
Katkıda bulunanlar için çağrı
WPHash için gelecekteki geliştirme kapsamı, kısmen Miller’ın çekebileceği topluluk desteğinin düzeyine bağlıdır. En azından, “WPHash’i ücretsiz çalıştırmaya ve hem REST API’yi hem de arkasındaki verileri geliştirmeye devam etmeye kendini adamıştır”.
Twitter’daki bir dizi retweet ve Reddit’teki upvotes, projeye desteğin sinyalini verdi, “insanlar WPHash ve verileriyle oynamaya başladığında, açık kaynak topluluğundan bazı ortak katkıda bulunmayı uman Miller” diyor. Daha fazla insanın katılımını sağlamak için bunu kolaylaştırmam ve katkı kılavuzları yazmaya başlamam gerektiğini düşünüyorum.”
WPHash’e katkıda bulunmak, soru sormak veya geri bildirimde bulunmak isteyen herkes, Miller ile iletişim kurarak bunu yapabilir. Twitter hesabı.
Mayıs ayında eklenti güvenlik açıklarıyla ilgili araştırmasını belgeleyen bir blog yazısı yayınlayan Cyllective, projeye sponsor oluyor.
ÖNERİLEN Grafik tabanlı JavaScript hata tarayıcısı, Node.js kitaplıklarında 100’den fazla sıfırıncı gün güvenlik açığı keşfeder