• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Drupal Security
 

Drupal Security

on

  • 1,033 views

My second presentation at DrupalCamp Sofia 2011 about securing Drupal sites.

My second presentation at DrupalCamp Sofia 2011 about securing Drupal sites.

Statistics

Views

Total Views
1,033
Views on SlideShare
1,025
Embed Views
8

Actions

Likes
1
Downloads
9
Comments
0

3 Embeds 8

http://www.linkedin.com 5
http://www.docshut.com 2
http://twitter.com 1

Accessibility

Upload Details

Uploaded via as OpenOffice

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Drupal Security Drupal Security Presentation Transcript

    • Drupal Security DrupalCamp Bulgaria 2011
    • Вашия сайт е уязвим! Дори малък, личен сайт може да бъде хакнат и освен това използван за атаки към посетителите му. Искам ВИЕ да видите заплахите.
    • Подсигурете кода и конфигурацията
      • Drupal APIs са проектирани да бъдат secure
      • От всеки, които пише код се очаква, че ще ги използва по този начин.
      • APIs и модули, които са замислени да бъдат сигурни, биха могли да бъдат използвани или конфигурирани по кофти начин
    • Използвайте тези ресурси!
      • Overview: http://drupalsecurityreport.org
      • http://drupal.org/writing-secure-code
      • http://drupal.org/security/secure-configuration
      • Cracking Drupal http://crackingdrupal.com/
      • http://heine.familiedeelstra.com/
      • http://drupal.org/project/security_review
      • http://drupal.org/project/coder
    •  
    •  
    • Обновявайте постоянно!
      • Уверете се, че update модула е пуснат (Update Status за Друпал 5)
      • В профила си на drupal.org се абонирайте за Security Advisory emails.
      • Измислете си консистентен метод за ъпдейтване на вашите проекти (VCS или drush) и никога не преставайте да го правите
    •  
    • Не използвайте insecure tools
      • Кажете НЕ на: FTP, Telnet, HTTP
      • Total Commander, FileZilla?
      • ДА: SSH, sFTP, FTPS, HTTPS
      • Сървърът ви обновява ли се редовно с най-новите security fix-ове за PHP, Apache, mySQL, etc?
    • Входящата информация от потребителите ви е опасна !
      • От къде идва този текст?
      • Може ли потребителя да го сменя?
      • В какъв контекст се използва текста?
      • Текста трябва да бъде ескейпван в зависимост от контекста, в който е използван
    • Контекстът е от значение
      • Уеб контекст
      • Мейл контекст
      • Database контекст (SQL)
      • Файлова система
      • Shell контекст
        http://acko.net/blog/safe-string-theory-for-the-web
    •  
    •  
    • Demo If you can do it, XSS can do it better!
    •  
    • Cross Site Request Forgery
      • Някакво действие се изпълнява без потвърждение
      • Може да бъде пуснато през img тагове.
      • Може да бъде пуснато през JS от друг сайт.
      • Уязвими са както $_GET, така и $_POST
      • Form tokens или URL tokens вързани със сесията ви защитават.
    • Трудности и други уязвимости
      • http://drupal.org/security/contrib – примери на много други категории уязвимости
      • http://drupal.org/security­team/risk­levels – също има някои примери
    • Своеволно изпълнение на код
      • (Arbitrary code execution)
      • Това обикновено означава, че потребител на сайта има възможност да изпълнява PHP команди или да include-не файл с PHP и да го изпълни
      • Очевиден пример, но често се допуска поради недоглеждане: позволяване на потребителите да използват PHP input format
    • http://xkcd.com/327/
    • SQL Injection
      • Входни данни от потребителя се добавят директно към SQL query-то, което се праща към базата данни
      • Понякога това може да доведе до изтриване или променяне на данни
      • В други случаи може да позволи получаване на лична информация, като е-мейл адреси, hashed passwords, etc. които да бъдат използвани като база на следваща атака
    • Access Bypass
      • Покрива два проблема – разкриване на информация и authentication bypass
      • Разкриване на информация – предполага се, че дадено съдържание е защитено, но се оказва, че не е
      • Authentication bypass – нормални потребители имат достъп до административна страница или операция
    •  
    • Благодаря Търсите си работа? http://mmartinov.com