Security firm Sucuri থেকে গবেষকরা প্রশাসক প্রমাণপত্রাদি নিচে ফাটল ওয়ার্ডপ্রেস ' বিল্ট ইন XML-RPC সাহায্যে বৈশিষ্ট্যের বিরুদ্ধে পাশব বল বিকাস আক্রমণ সম্পাদন করার জন্য একটা উপায় খুঁজে পেয়েছি.
XML-RPC সাহায্যে নিরাপদভাবে ইন্টারনেট জুড়ে কম্পিউটারের মধ্যে তথ্য আদান প্রদানের জন্য সহজ প্রোটোকল এক . এটা এক HTTP অনুরোধের মধ্যে একাধিক কমান্ডগুলো একটি আবেদন করতে পারবেন যে system.multicall পদ্ধতি ব্যবহার করে.
ওয়ার্ডপ্রেস এবং Drupal এর সমর্থন XML-RPC সাহায্যে সহ সিএমএস একটি সংখ্যা .
কিন্ত ...
একই পদ্ধতি তাদের পাশব বল সনাক্ত করা ছাড়া, মাত্র এক HTTP অনুরোধের মধ্যে পাসওয়ার্ডগুলি শত শত প্রচেষ্টার দ্বারা অনেকবার আক্রমন করে প্রশস্ত করা নির্যাতিত হয়েছে .
Amplified Brute-Force Attacks
এই হ্যাকার তাদের পারবেন যে system.multicall পদ্ধতি সাথে XML-RPC সাহায্যে প্রোটোকল ব্যবহার করতে পারেন , এর পরিবর্তে ( সহজেই চাকরি নিষিদ্ধ দ্বারা অবরুদ্ধ হতে পারে) লগইন পৃষ্ঠার মাধ্যমে ব্যবহারকারীর নাম এবং পাসওয়ার্ড সমন্বয় হাজার চেষ্টা এর মানে :
- Go undetected by normal brute-force mitigation products.
- Try hundreds of thousands of username and password combinations with few XML-RPC requests.
কোম্পানি তারপর এই মাসের শুরুর প্রায় 60,000 প্রতিদিন আকাশ - রকেটের যা গত মাসের শুরুতে এই ধরনের প্রথম আক্রমণ সাক্ষী .
How to Prevent Brute-Force Amplification Attack via XML-RPC
যেমন হুমকির বিরুদ্ধে নিজেকে রক্ষা করার জন্য, কেবল XML-RPC সাহায্যে সকল অ্যাক্সেস অবরোধ . আপনি xmlrpc.php ফাইল ব্যবহার করে যে কোনো প্লাগইন ব্যবহার করা হয় না , ঠিক তা মুছে / নামান্তর মাথা . আপনি যেমন JetPack প্লাগিন ব্যবহার করা হয় কিন্তু যদি , , xmlrpc.php ব্লক আপনার ওয়েবসাইটে কিছু ভাঙা কার্যকারিতা হতে পারে . সুতরাং , ওয়েবমাস্টাররা একটি WAF ( ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল ) ব্যবহার XML-RPC সাহায্যে system.multicall অনুরোধ অবরোধ পারে . এই বিকাস পদ্ধতি বিরুদ্ধে আপনাকে রক্ষা করবে .
