8. Результат первых тестов
• Есть возможность встроить iframe
• Загрузка файлов произвольного типа в поле
редактора
• Использование чисел для получения доступа
к данным
• Использование данных с других ресурсов
• Возможность перебора пароля
• Доступ к файлам cookie при помощи
JavaScript
9. Проверка Moodle с настройками
по умолчанию
• Возможно эксплуатации атаки CSRF
• Возможность просмотреть содержимое
каталогов
10. Методы исправления
• Добавление заголовка X-Frame-Options
• Установка флага HttpOnly
• Логирование попыток побора паролей и
ограничение доступа
• Расширенная проверка данных
редактора
• Использование защищенных cookie
• Словесное формирование URL
11. Выводы
• Рассмотрены виды угроз
• Рассмотрены методы защиты
• Выбор инструментов для реализации
поставленных задач
• Построение защищенных систем