Drupal Security

974
-1

Published on

My second presentation at DrupalCamp Sofia 2011 about securing Drupal sites.

Published in: Technology, News & Politics
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
974
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
10
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Drupal Security

  1. 1. Drupal Security DrupalCamp Bulgaria 2011
  2. 2. Вашия сайт е уязвим! Дори малък, личен сайт може да бъде хакнат и освен това използван за атаки към посетителите му. Искам ВИЕ да видите заплахите.
  3. 3. Подсигурете кода и конфигурацията <ul><li>Drupal APIs са проектирани да бъдат secure
  4. 4. От всеки, които пише код се очаква, че ще ги използва по този начин.
  5. 5. APIs и модули, които са замислени да бъдат сигурни, биха могли да бъдат използвани или конфигурирани по кофти начин </li></ul>
  6. 6. Използвайте тези ресурси! <ul><li>Overview: http://drupalsecurityreport.org
  7. 7. http://drupal.org/writing-secure-code
  8. 8. http://drupal.org/security/secure-configuration
  9. 9. Cracking Drupal http://crackingdrupal.com/
  10. 10. http://heine.familiedeelstra.com/
  11. 11. http://drupal.org/project/security_review
  12. 12. http://drupal.org/project/coder </li></ul>
  13. 15. Обновявайте постоянно! <ul><li>Уверете се, че update модула е пуснат (Update Status за Друпал 5)
  14. 16. В профила си на drupal.org се абонирайте за Security Advisory emails.
  15. 17. Измислете си консистентен метод за ъпдейтване на вашите проекти (VCS или drush) и никога не преставайте да го правите </li></ul>
  16. 19. Не използвайте insecure tools <ul><li>Кажете НЕ на: FTP, Telnet, HTTP
  17. 20. Total Commander, FileZilla?
  18. 21. ДА: SSH, sFTP, FTPS, HTTPS
  19. 22. Сървърът ви обновява ли се редовно с най-новите security fix-ове за PHP, Apache, mySQL, etc? </li></ul>
  20. 23. Входящата информация от потребителите ви е опасна ! <ul><li>От къде идва този текст?
  21. 24. Може ли потребителя да го сменя?
  22. 25. В какъв контекст се използва текста?
  23. 26. Текста трябва да бъде ескейпван в зависимост от контекста, в който е използван </li></ul>
  24. 27. Контекстът е от значение <ul><li>Уеб контекст
  25. 28. Мейл контекст
  26. 29. Database контекст (SQL)
  27. 30. Файлова система
  28. 31. Shell контекст </li></ul><ul>http://acko.net/blog/safe-string-theory-for-the-web </ul>
  29. 34. Demo If you can do it, XSS can do it better!
  30. 36. Cross Site Request Forgery <ul><li>Някакво действие се изпълнява без потвърждение
  31. 37. Може да бъде пуснато през img тагове.
  32. 38. Може да бъде пуснато през JS от друг сайт.
  33. 39. Уязвими са както $_GET, така и $_POST
  34. 40. Form tokens или URL tokens вързани със сесията ви защитават. </li></ul>
  35. 41. Трудности и други уязвимости <ul><li>http://drupal.org/security/contrib – примери на много други категории уязвимости
  36. 42. http://drupal.org/security­team/risk­levels – също има някои примери </li></ul>
  37. 43. Своеволно изпълнение на код <ul><li>(Arbitrary code execution)
  38. 44. Това обикновено означава, че потребител на сайта има възможност да изпълнява PHP команди или да include-не файл с PHP и да го изпълни
  39. 45. Очевиден пример, но често се допуска поради недоглеждане: позволяване на потребителите да използват PHP input format </li></ul>
  40. 46. http://xkcd.com/327/
  41. 47. SQL Injection <ul><li>Входни данни от потребителя се добавят директно към SQL query-то, което се праща към базата данни
  42. 48. Понякога това може да доведе до изтриване или променяне на данни
  43. 49. В други случаи може да позволи получаване на лична информация, като е-мейл адреси, hashed passwords, etc. които да бъдат използвани като база на следваща атака </li></ul>
  44. 50. Access Bypass <ul><li>Покрива два проблема – разкриване на информация и authentication bypass
  45. 51. Разкриване на информация – предполага се, че дадено съдържание е защитено, но се оказва, че не е
  46. 52. Authentication bypass – нормални потребители имат достъп до административна страница или операция </li></ul>
  47. 54. Благодаря Търсите си работа? http://mmartinov.com
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×