昨天我的 WordPress 网站被黑了。我以为我已经做了所有必要的事情来确保它的安全。我的一位同事说,使用 Greasemonkey,我们可以轻松入侵网站。这是真的吗?如何保护我的网站免受它的侵害?
是否可以使用 Greasemonkey 破解网站?
信息安全
网页浏览器
WordPress
2021-09-07 06:35:12
3个回答
GreaseMonkey(或Chrome 的Tampermonkey)是一个浏览器插件,允许您在客户端的浏览器中注入自定义 JavaScript 代码。你几乎无法控制它。
好消息是这些更改都不会影响服务器端的内容或其他用户的内容。因此,如果您依赖服务器进行验证/验证/登录/等,那么您无需担心。但是,如果您依赖客户端代码来提供输入验证和其他类型的限制,那么您将遇到比 GreaseMonkey 更深的问题。几乎所有现代浏览器都包含允许修改客户端内容的功能,它们大多被称为开发者工具。
我对您的建议是让有能力的人来评估您网站的安全状况,并帮助您保护它免受未来的攻击。
阅读您的问题和相关描述,我只能说我不同意您的同事“Greasemonkey”理论。Greasemonkey 只允许运行客户端 javascript(修改网站的客户端行为或自动化某些事情)。然而,客户端 javascript 不能直接破坏您的服务器端。我唯一能想到的 Greasemonkey 可能有用的是暴力破解登录表单。就是这样。
潜在的攻击媒介
最有可能是您的“被黑客入侵”问题的根源,是使用不安全的密码以及 - 更糟糕的是 - 使用登录名“admin”,因为这只会给黑客留下一个猜测。 .. 密码。如果黑客需要同时猜出名称和密码,他会浪费时间和资源,而且很可能还会有兴趣尝试入侵您的网站。
因此,您应该接受一个提示:良好的登录名和登录密码至少有8 个字符长,并且应该包括字母、数字和标点字符(如点、括号、破折号等)的组合。
万一您错过了新闻:最近对基于 wp_login.php 文件(您的登录表单)的基于 wordpress 的网站进行了广泛的暴力攻击。许多网站都以这种方式被黑客入侵,我可以想象您的网站就是其中之一(尽管如果不查看服务器访问日志我无法确定)。
这个问题是如此广泛,以至于它甚至在 wordpress 网站 ([http://codex.wordpress.org/Brute_Force_Attacks][1]) 上有一个专门的页面,他们在其中发布了一些潜在的解决问题的方法。您可能需要查看该页面以获取更多信息。
如果不是您的登录表单,请检查您的 wordpress 插件。
这不是第一次 wordpress 插件引入一个主要的安全漏洞,即使是最愚蠢的脚本小子也能破坏你的 wordpress 安装。只需记住(或搜索)不久前使 wordpress 社区陷入困境的“timthumb”安全灾难。然而,我个人怀疑你已经成为#1 中提到的最近暴力攻击的受害者。
最后但同样重要的是,让我附和@Adnan 给出的建议:
我对您的建议是让有能力的人来评估您网站的安全状况,并帮助您保护它免受未来的攻击。
如果你不知道“发生了什么”,你就无法阻止它再次发生。如果您对保护网站和服务器一无所知,现在是时候聘请专业人士了...
有几件事需要考虑。使用 Greasemonkey (GM),用户(客户端)需要接受 GM 脚本的安装或自己编写 GM 脚本。由于客户端用户可以完全访问服务器可以下载的任何页面(使用该用户的授权和身份验证),因此 GM 脚本可以修改此内容或将内容与来自同一服务器或其他不相关服务器的其他页面结合使用来呈现以任何所需的方式获取网页数据。一个例子是一个房地产网站 (RES),在不同的页面上有出售房屋的详细信息和图片。可以使用 GM 脚本获取 RES 页并将它们放在一起作为一页。此外,可以从评估员的网站上提取平方英尺(或平方米)或税收信息,并将其与 RES 信息混合为一页。独自的,这并不险恶。但是,如果您在页面上阻止了右键单击或阻止了受保护的内容,那么聪明的脚本编写者可能能够绕过保护措施(这可以通过开发人员工具简单地调整 HTML 中的元素)。
这是可能存在更多问题的地方。很多网站都没有很好地保护他们的资产和 API。通过对更多资产开放权限,脚本编写者可能能够对页面的脚本进行逆向工程并提取更多资产。对于 API,这是另一回事。通过不限制站点上的 API,GM 脚本可以向 API 发出额外请求。例如,假设用户名是 API 的一部分。该脚本可以更改硬编码的用户名并将另一个用户名放入脚本中,以提取其他人的信息。也许该网站出售某种搜索服务,而用户只能按地理位置或兴趣进行搜索,但不能同时按两者。如果 API 未正确锁定,则可以使用 GM 脚本将此搜索扩展到两者。
至于蛮力攻击,单独一个浏览器可能不是一支强大的军队。如果想要进行攻击,甚至多次点击网站尝试密码,还有很多其他适合攻击的工具。
那么 Greasemonkey 是破解者的工具吗?是的,但由于网站安全性差,它只允许客户查看已经存在的内容。如果在当前用户不知情的情况下安装了 GM 脚本,该脚本可以通过从脚本熟悉的页面捕获密码或其他信息来监视当前用户的操作。
同样,@Adnan 给出的建议:
我对您的建议是让有能力的人来评估您网站的安全状况,并帮助您保护它免受未来的攻击。
其它你可能感兴趣的问题