SlideShare a Scribd company logo

Безопасность Joomla: теория и практика

R
revisium

Как взламывают сайты на Joomla и как их эффективно защищать от веб-атак.

Internet
1 of 49
Download to read offline
Безопасность Joomla теория и практика 
 
 Григорий Земсков, компания «Ревизиум»
 
 04/08/2016
[Не]безопасность Joomla
Нужно ли защищать Joomla? — Суперпопулярная — Опенсорсная — Огромное число плагинов, часть из которых уязвимы — CMS и плагины хорошо изучены хакерами, многие инструменты для взлома/заражения «заточены» под Joomla, Wordpress и Drupal — Около 30% сайтов наших клиентов - на Joomla
Специализированные «зловреды»
Мифы и отговорки — “Мой сайт не интересен хакерам…” — “Мой сайт не содержит уязвимостей…” — “Зачем защищать, если есть бэкап?...” — “Мои программисты уже все защитили…” — “Я регулярно меняю пароли…” — “Сайт нормально работал три года, никто не ломал…”
- Хьюстон,у нас проблемы…
Статистика Imperva Incapsula 7 m / 6
Тренды 2015-2016 — полная автоматизация разведки, взлома и эксплуатации — активная эксплуатация публичных уязвимостей, 0-day — динамические payload’ы — активный спам и фишинг — больше заражений в базе данных (инжекты напрямую без шеллов через уязвимости) — обфусцированные шеллы и большое число бэкдоров — сложные клиентские скрипты, обходящие детекты — взломы для SEO: “японские” дорвеи
После нецелевого взлома — рассылка спама — атаки на другие ресурсы — хостинг фишинговый страниц — мобильные редиректы на тизерные и wap-click«партнерки» — редиректы на сплойты — спам-ссылки или дорвеи
После целевого взлома — сайт уничтожен (бэкапы, домен, аккаунт хостинга, …) — шпионаж — раскрытие конфиденциальных данных, «слив» клиентской базы — подмена информации на страницах и в базе — «черное» SEO — хулиганство
Варианты взлома сайтов
Веб-атаки на сайт
Как атакуют сайты «Разведка», сбор информации: — Поиск уязвимых скриптов — Поиск системных, служебных файлов (бэкапы, конфиги), субдоменов — Поиск ошибок на сайте — Определение версий СMS, плагинов
 
 Атака: — Брутфорс аккаунтов (админ-панели CMS, FTP, SSH, панели управления хостингом) — Эксплуатация обнаруженных уязвимостей (Joomla < 3.4.7, уязвимости CVE-2015-7297, CVE-2015-7857, CVE-2015-7858) 15 m / 12
Нецелевые атаки — начинаются, как только сайт появился в SERP — идут постоянно — выборка на основе GHDB — два вида атак: «разведка» и эксплуатация уязвимостей
Поиск уязвимых расширений
Поиск уязвимых сайтов
«Разведка»сайта на Joomla
Атака сайта на Joomla
Брутфорс «админки»
Защита Joomla 22 m / 19
Популярные векторы атак — Подбор пароля от «админки» — Исполнение произвольного кода на сайте (RCE) — Несанкционированная загрузка файлов (в т.ч. через «админку») — SQL инъекции («слив» базы, внедрение кода, внедрение админа) — Кража/перехват пароля админа или сессионных ключей + несанкционированные операции (через XSS+XSRF)
Комплексная безопасность Технические средства
 Организационные меры
 +
Типы проектов 
 Динамичные vs Статичные
Технические средства
Памятка по тех. средствам — Выбираем безопасное окружение, изолируем сайты — Обновляем ОС, CMS и плагины — Выполняем Server Hardening — Активируем проактивную защиту (внутренний WAF) — Выполняем CMS Hardening («цементирование») — Устанавливаем двухфакторную аутентификацию на все аккаунты — Встаем под сервисы WAF и ANTI-DDOS сервисы — Настраиваем грамотное резервное копирование — Запускаем мониторинг (веб, файловой системы, бизнес-показателей)
Безопасное окружение — Безопасный и надежный хостинг / сервер: отказоустойчивость, SLA, резервное копирование, динамика развития, встроенные средства защиты, меры безопасности. — Техническая изоляция сайтов внутри аккаунта / сервера — Безопасные настройки сервера и PHP 30 m / 24
Server Hardening — Обновляем ядро, сервисы и ПО сервера — Отключаем или удаляем все ненужные компоненты и сервисы — Закрываем или меняем порты, ограничиваем исходящие/входящие подключения на нестандартных портах — Настраиваем изолированную виртуальную среду для сервисов или сайтов (VM, docker, cagefs, chroot) — Переходим на защищенные соединения (FTP -> SFTP, HTTP -> HTTPS) — Устанавливаем сервисы, расширения безопасности (naxsi, mod_security, mod_evasive, suhosin, fail2ban, ids/ips систему…) — меняем настройки логгирования, параметры аккаунтов, квоты
Программное обеспечение — Обновление ядра CMS — Обновление плагинов
Аутентификация — Отключаем root по SSH — Двухфакторная на панель хостинга/сервера — fail2ban — Защита от брутфорса: плагины jSecure, kSecure, Security Authentication, … — «Спрятать» админку
«Цементирование» сайта — Настраиваем безопасные права на файлы и каталоги — Блокируем доступ к скриптам через веб в открытых на запись каталогах — Закрываем доступ к «чувствительным» файлам — Отключаем для сайта неиспользуемые системные функции (включая chmod) — Отключаем perl/python/др. cgi — Ограничиваем «свободы» (open_basedir, устанавливаем лимиты)
Детали «цементирования» 37 m / 30
Детали «цементирования»
Проактивная защита ? — RS Firewall — Admin Tools — jHackGuard — Centrora Security (ex. OSE Anti-Hacker) — Incapsula for Joomla
HTTPS, CSP, и доп. защита
Защита внешнего периметра ? — Проксирование трафика (внешний WAF) — Защита от DOS / DDOS
Бэкапы — Вырабатываем стратегию резервного копирования: периодичность, интервал, количество, автоматизация — Выбираем место для хранения (не на сервере) — Проверяем резервные копии
Мониторинг — Выбор показателей мониторинга: технические, бизнес- параметры — Доступность и «200 OK» не гарантирует нормальную работу сайта — Не забываем про сроки домена и SSL сертификата — Диагностика на вирусы и взлом: файлы, база, страницы
Если Joomla неуязвима — взломают сайт через соседний по аккаунту — перехватят доступы через WI-FI в кафе, украдет троян на компьютере или в роутере, уведут через «фишинг» или взломанный email — «сбрутят» пароль от FTP/SSH/панели хостинга — внедрят вирусный код через phpmyadmin в базу данных — сам веб-мастер установит зараженный компонент — «рутанут» сервер VPS/хостинга 45 m / 37
Организационные меры
Памятка по орг. мерам — Делаем безопасным рабочее место — Защищаем каналы передачи данных — Управляем доступами к домену, сайту и хостингу — Выбираем надежных подрядчиков, работа по договору — Инструктируем сотрудников и подрядчиков — Разрабатываем памятку безопасности и контролируем исполнение предписаний — Выполняем регулярный аудит безопасности
Безопасность рабочего места — Выбираем операционную систему — Регулярно обновляем компоненты ОС (браузер, плагины браузера, софт для работы с сайтом) — Устанавливаем антивирусное ПО — Регулярно выполняем полную проверку антивирусом — Используем менеджеры паролей — Отдельный рабочий компьютер или терминал — Устанавливаем мониторинговые (например, антифишинговые) расширения
Защищаем свое подключение — Выбираем безопасное подключение (домашний роутер, 3G/LTE) — Используем VPN для открытых сетей
Управляем доступами — Регулярно меняем пароли от панели хостинга, FTP, SSH, админ-панели сайта, базы данных — Устанавливаем сложные и разные пароли — Включаем логгирование операций в панелях и логи сервисов — Выдаем подрядчикам минимально необходимые доступы с минимальным сроком валидности — Меняем / деактивируем доступы сразу после завершения работы — Включаем двухфакторную аутентификацию, где возможно — Используем SSH ключи для подключения — Не используем FTP (используем SFTP, крайний случай FTPS)
Беда от подрядчиков — Раскрывают доступы — Небезопасное рабочее место — Небезопасный сетевой канал — Не учитывают элементы защиты на сайте — Вносят новые уязвимости — Размещают вредоносный код — Оставляют инструменты для работы с БД, файловые менеджеры, чувствительные файлы на хостинге — Объекты социальной инженерии 52 m / 43
Сотрудникам и подрядчикам — Разрабатываем политику безопасности для сотрудников и подрядчиков в виде инструкции — Знакомим подрядчиков с предписаниями и памяткой по безопасной работе с сайтом — Проверяем выполнение предписаний — Работаем по договору
Аудит безопасности — Проводим аудит перед публичным анонсом проекта — Выполняем регулярные проверки на вирусы, взлом в процессе работы — Проводим аудит после работы подрядчиков — Своими силами или привлекая ИБ специалистов
Безопасность и комфорт — Безопасность - это ограничения и запреты — Безопасность - это неудобно — Задача - найти соотношение между безопасностью и удобством работы — Автоматизация рутины, мониторинг, готовые предписания и безопасность как аутсорс
Как делать диагностику — Сканирование файлов: https://revisium.com/ai/ 
 
 
 — Сканирование страниц сайта: https://rescan.pro 
 — Проверка базы данных
Спасибо! Вопросы? Григорий Земсков Компания «Ревизиум» http://revisium.com http://vk.com/siteprotect http://facebook.com/Revisium http://twitter.com/revisium Telegram - @sitesecurity revisium.com/ai/ rescan.pro

Recommended

Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовrevisium
 
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайтаrevisium
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
 
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017revisium
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...SEO Conference
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.revisium
 
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьrevisium
 
Как обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииКак обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииNaZapad
 

Recommended

Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовrevisium
 
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайтаrevisium
 
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного"На Стачку" - Взлом сайта: 5 стадий принятия неизбежного
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
 
Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017Выступление Ревизиум на ХостОбзор 2017
Выступление Ревизиум на ХостОбзор 2017revisium
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...SEO Conference
 
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.
Почему хакеры выбирают WordPress. WordCamp 2017, Moscow.revisium
 
Безопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьБезопасность Joomla: мифы и реальность
Безопасность Joomla: мифы и реальностьrevisium
 
Как обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииКак обезопасить PBN от взлома? Практические рекомендации
Как обезопасить PBN от взлома? Практические рекомендацииNaZapad
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!Positive Hack Days
 
Безопасность WordPress
Безопасность WordPress Безопасность WordPress
Безопасность WordPress Dmitry Kondryuk
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditionsdefconmoscow
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборDenis Bezkorovayny
 
Безопасный сайт
Безопасный сайтБезопасный сайт
Безопасный сайтAndreas Schwarzkopf
 
Alex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяйAlex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяйUISGCON
 
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Joomla Secrets
 
Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте revisium
 
Зоопарк python веб-фреймворков
Зоопарк python веб-фреймворковЗоопарк python веб-фреймворков
Зоопарк python веб-фреймворковPyNSK
 
Под капотом Vulners
Под капотом VulnersПод капотом Vulners
Под капотом VulnersKirill Ermakov
 
Основные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 годуОсновные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 годуSiteSecure
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Dmitry Evteev
 
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеSQALab
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionAndrew Petukhov
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QAFest
 
Безопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр ВолковБезопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр ВолковYandex
 
[ONSEC ]XSS vs waf
[ONSEC ]XSS vs waf[ONSEC ]XSS vs waf
[ONSEC ]XSS vs wafd0znp
 
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волковkarina krew
 

More Related Content

What's hot

Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!Positive Hack Days
 
Безопасность WordPress
Безопасность WordPress Безопасность WordPress
Безопасность WordPress Dmitry Kondryuk
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditionsdefconmoscow
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборDenis Bezkorovayny
 
Alex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяйAlex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяйUISGCON
 
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Joomla Secrets
 
Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте revisium
 
Зоопарк python веб-фреймворков
Зоопарк python веб-фреймворковЗоопарк python веб-фреймворков
Зоопарк python веб-фреймворковPyNSK
 
Под капотом Vulners
Под капотом VulnersПод капотом Vulners
Под капотом VulnersKirill Ermakov
 
Основные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 годуОсновные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 годуSiteSecure
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Dmitry Evteev
 
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеSQALab
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionAndrew Petukhov
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...Dmitry Evteev
 
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QAFest
 
Безопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр ВолковБезопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр ВолковYandex
 
[ONSEC ]XSS vs waf
[ONSEC ]XSS vs waf[ONSEC ]XSS vs waf
[ONSEC ]XSS vs wafd0znp
 
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days
 

What's hot (20)

Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
 
Безопасность WordPress
Безопасность WordPress Безопасность WordPress
Безопасность WordPress
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditions
 
Waf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScriptWaf.js: как защищать веб-приложения с использованием JavaScript
Waf.js: как защищать веб-приложения с использованием JavaScript
 
Методы выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выборМетоды выполнения требования 6.6 PCI DSS – практический выбор
Методы выполнения требования 6.6 PCI DSS – практический выбор
 
Безопасный сайт
Безопасный сайтБезопасный сайт
Безопасный сайт
 
Alex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяйAlex Eden - Не доверяй и проверяй
Alex Eden - Не доверяй и проверяй
 
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
Угрозы безопасности, которые будут мешать вам спокойно зарабатывать с сайта -...
 
Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте Лечение мобильных, поисковых редиректов и дорвеев на сайте
Лечение мобильных, поисковых редиректов и дорвеев на сайте
 
Зоопарк python веб-фреймворков
Зоопарк python веб-фреймворковЗоопарк python веб-фреймворков
Зоопарк python веб-фреймворков
 
Под капотом Vulners
Под капотом VulnersПод капотом Vulners
Под капотом Vulners
 
Основные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 годуОсновные угрозы безопасности для интернет-бизнеса в 2014 году
Основные угрозы безопасности для интернет-бизнеса в 2014 году
 
Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.Истории из жизни. Как взламывают сети крупных организаций.
Истории из жизни. Как взламывают сети крупных организаций.
 
Безопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применениеБезопасность сессий в веб-приложениях: практическое применение
Безопасность сессий в веб-приложениях: практическое применение
 
Безопасность веб-приложений: starter edition
Безопасность веб-приложений: starter editionБезопасность веб-приложений: starter edition
Безопасность веб-приложений: starter edition
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...История из жизни. Демонстрация работы реального злоумышленника на примере ата...
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
 
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...
 
Безопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр ВолковБезопасность сайта: мифы и реальность — Петр Волков
Безопасность сайта: мифы и реальность — Петр Волков
 
[ONSEC ]XSS vs waf
[ONSEC ]XSS vs waf[ONSEC ]XSS vs waf
[ONSEC ]XSS vs waf
 
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП
 

Similar to Безопасность Joomla: теория и практика

Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волковkarina krew
 
Почему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеПочему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеrevisium
 
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусовSkillFactory
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)c3retc3
 
Seopult мастеркласс 1 - восстановление сайта после взлома
Seopult мастеркласс 1 - восстановление сайта после взломаSeopult мастеркласс 1 - восстановление сайта после взлома
Seopult мастеркласс 1 - восстановление сайта после взломаrevisium
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)Dmitry Evteev
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
Risspa domxss
Risspa domxssRisspa domxss
Risspa domxssyaevents
 
Белов наиболее часто уязвимые места в веб приложениях
Белов наиболее часто уязвимые места в веб приложенияхБелов наиболее часто уязвимые места в веб приложениях
Белов наиболее часто уязвимые места в веб приложенияхqasib
 
ITSF 2014 ICS Security
ITSF 2014 ICS SecurityITSF 2014 ICS Security
ITSF 2014 ICS SecurityIlya Karpov
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 

Similar to Безопасность Joomla: теория и практика (20)

Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
 
Почему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостингеПочему взламывают даже защищенные CMS на безопасном хостинге
Почему взламывают даже защищенные CMS на безопасном хостинге
 
Защита сайта от взлома и вирусов
Защита сайта от взлома и вирусовЗащита сайта от взлома и вирусов
Защита сайта от взлома и вирусов
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)
 
Seopult мастеркласс 1 - восстановление сайта после взлома
Seopult мастеркласс 1 - восстановление сайта после взломаSeopult мастеркласс 1 - восстановление сайта после взлома
Seopult мастеркласс 1 - восстановление сайта после взлома
 
Drupal Paranoia
Drupal ParanoiaDrupal Paranoia
Drupal Paranoia
 
Drupal Paranoia
Drupal ParanoiaDrupal Paranoia
Drupal Paranoia
 
Drupal Paranoia
Drupal ParanoiaDrupal Paranoia
Drupal Paranoia
 
Безопасность
БезопасностьБезопасность
Безопасность
 
Penetration testing (AS IS)
Penetration testing (AS IS)Penetration testing (AS IS)
Penetration testing (AS IS)
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
IBM Proventia IPS
IBM Proventia IPSIBM Proventia IPS
IBM Proventia IPS
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
 
Risspa domxss
Risspa domxssRisspa domxss
Risspa domxss
 
Белов наиболее часто уязвимые места в веб приложениях
Белов наиболее часто уязвимые места в веб приложенияхБелов наиболее часто уязвимые места в веб приложениях
Белов наиболее часто уязвимые места в веб приложениях
 
ITSF 2014 ICS Security
ITSF 2014 ICS SecurityITSF 2014 ICS Security
ITSF 2014 ICS Security
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 

More from revisium

Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищатьВзломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищатьrevisium
 
Современный агрессивный интернет
Современный агрессивный интернетСовременный агрессивный интернет
Современный агрессивный интернетrevisium
 
Как не дать хакеру заработать на вашем сайте. Григорий Земсков, Ревизиум, RIW...
Как не дать хакеру заработать на вашем сайте. Григорий Земсков, Ревизиум, RIW...Как не дать хакеру заработать на вашем сайте. Григорий Земсков, Ревизиум, RIW...
Как не дать хакеру заработать на вашем сайте. Григорий Земсков, Ревизиум, RIW...revisium
 
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеЯндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеrevisium
 
Как безопасно работать с файлами по ftp
Как безопасно работать с файлами по ftpКак безопасно работать с файлами по ftp
Как безопасно работать с файлами по ftprevisium
 
Seopult мастеркласс 2 - мобильный редирект
Seopult мастеркласс 2 - мобильный редиректSeopult мастеркласс 2 - мобильный редирект
Seopult мастеркласс 2 - мобильный редиректrevisium
 
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптахПриемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптахrevisium
 

More from revisium (7)

Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищатьВзломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
Взломать Нельзя Защитить: как взламывают сайты и как их эффективно защищать
 
Современный агрессивный интернет
Современный агрессивный интернетСовременный агрессивный интернет
Современный агрессивный интернет
 
Как не дать хакеру заработать на вашем сайте. Григорий Земсков, Ревизиум, RIW...
Как не дать хакеру заработать на вашем сайте. Григорий Земсков, Ревизиум, RIW...Как не дать хакеру заработать на вашем сайте. Григорий Земсков, Ревизиум, RIW...
Как не дать хакеру заработать на вашем сайте. Григорий Земсков, Ревизиум, RIW...
 
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеЯндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайте
 
Как безопасно работать с файлами по ftp
Как безопасно работать с файлами по ftpКак безопасно работать с файлами по ftp
Как безопасно работать с файлами по ftp
 
Seopult мастеркласс 2 - мобильный редирект
Seopult мастеркласс 2 - мобильный редиректSeopult мастеркласс 2 - мобильный редирект
Seopult мастеркласс 2 - мобильный редирект
 
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптахПриемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах
 

Безопасность Joomla: теория и практика

  • 1. Безопасность Joomla теория и практика 
 
 Григорий Земсков, компания «Ревизиум»
 
 04/08/2016
  • 3. Нужно ли защищать Joomla? — Суперпопулярная — Опенсорсная — Огромное число плагинов, часть из которых уязвимы — CMS и плагины хорошо изучены хакерами, многие инструменты для взлома/заражения «заточены» под Joomla, Wordpress и Drupal — Около 30% сайтов наших клиентов - на Joomla
  • 5. Мифы и отговорки — “Мой сайт не интересен хакерам…” — “Мой сайт не содержит уязвимостей…” — “Зачем защищать, если есть бэкап?...” — “Мои программисты уже все защитили…” — “Я регулярно меняю пароли…” — “Сайт нормально работал три года, никто не ломал…”
  • 8. Тренды 2015-2016 — полная автоматизация разведки, взлома и эксплуатации — активная эксплуатация публичных уязвимостей, 0-day — динамические payload’ы — активный спам и фишинг — больше заражений в базе данных (инжекты напрямую без шеллов через уязвимости) — обфусцированные шеллы и большое число бэкдоров — сложные клиентские скрипты, обходящие детекты — взломы для SEO: “японские” дорвеи
  • 9. После нецелевого взлома — рассылка спама — атаки на другие ресурсы — хостинг фишинговый страниц — мобильные редиректы на тизерные и wap-click«партнерки» — редиректы на сплойты — спам-ссылки или дорвеи
  • 10. После целевого взлома — сайт уничтожен (бэкапы, домен, аккаунт хостинга, …) — шпионаж — раскрытие конфиденциальных данных, «слив» клиентской базы — подмена информации на страницах и в базе — «черное» SEO — хулиганство
  • 13. Как атакуют сайты «Разведка», сбор информации: — Поиск уязвимых скриптов — Поиск системных, служебных файлов (бэкапы, конфиги), субдоменов — Поиск ошибок на сайте — Определение версий СMS, плагинов
 
 Атака: — Брутфорс аккаунтов (админ-панели CMS, FTP, SSH, панели управления хостингом) — Эксплуатация обнаруженных уязвимостей (Joomla < 3.4.7, уязвимости CVE-2015-7297, CVE-2015-7857, CVE-2015-7858) 15 m / 12
  • 14. Нецелевые атаки — начинаются, как только сайт появился в SERP — идут постоянно — выборка на основе GHDB — два вида атак: «разведка» и эксплуатация уязвимостей
  • 21. Популярные векторы атак — Подбор пароля от «админки» — Исполнение произвольного кода на сайте (RCE) — Несанкционированная загрузка файлов (в т.ч. через «админку») — SQL инъекции («слив» базы, внедрение кода, внедрение админа) — Кража/перехват пароля админа или сессионных ключей + несанкционированные операции (через XSS+XSRF)
  • 25. Памятка по тех. средствам — Выбираем безопасное окружение, изолируем сайты — Обновляем ОС, CMS и плагины — Выполняем Server Hardening — Активируем проактивную защиту (внутренний WAF) — Выполняем CMS Hardening («цементирование») — Устанавливаем двухфакторную аутентификацию на все аккаунты — Встаем под сервисы WAF и ANTI-DDOS сервисы — Настраиваем грамотное резервное копирование — Запускаем мониторинг (веб, файловой системы, бизнес-показателей)
  • 26. Безопасное окружение — Безопасный и надежный хостинг / сервер: отказоустойчивость, SLA, резервное копирование, динамика развития, встроенные средства защиты, меры безопасности. — Техническая изоляция сайтов внутри аккаунта / сервера — Безопасные настройки сервера и PHP 30 m / 24
  • 27. Server Hardening — Обновляем ядро, сервисы и ПО сервера — Отключаем или удаляем все ненужные компоненты и сервисы — Закрываем или меняем порты, ограничиваем исходящие/входящие подключения на нестандартных портах — Настраиваем изолированную виртуальную среду для сервисов или сайтов (VM, docker, cagefs, chroot) — Переходим на защищенные соединения (FTP -> SFTP, HTTP -> HTTPS) — Устанавливаем сервисы, расширения безопасности (naxsi, mod_security, mod_evasive, suhosin, fail2ban, ids/ips систему…) — меняем настройки логгирования, параметры аккаунтов, квоты
  • 28. Программное обеспечение — Обновление ядра CMS — Обновление плагинов
  • 29. Аутентификация — Отключаем root по SSH — Двухфакторная на панель хостинга/сервера — fail2ban — Защита от брутфорса: плагины jSecure, kSecure, Security Authentication, … — «Спрятать» админку
  • 30. «Цементирование» сайта — Настраиваем безопасные права на файлы и каталоги — Блокируем доступ к скриптам через веб в открытых на запись каталогах — Закрываем доступ к «чувствительным» файлам — Отключаем для сайта неиспользуемые системные функции (включая chmod) — Отключаем perl/python/др. cgi — Ограничиваем «свободы» (open_basedir, устанавливаем лимиты)
  • 33. Проактивная защита ? — RS Firewall — Admin Tools — jHackGuard — Centrora Security (ex. OSE Anti-Hacker) — Incapsula for Joomla
  • 34. HTTPS, CSP, и доп. защита
  • 35. Защита внешнего периметра ? — Проксирование трафика (внешний WAF) — Защита от DOS / DDOS
  • 36. Бэкапы — Вырабатываем стратегию резервного копирования: периодичность, интервал, количество, автоматизация — Выбираем место для хранения (не на сервере) — Проверяем резервные копии
  • 37. Мониторинг — Выбор показателей мониторинга: технические, бизнес- параметры — Доступность и «200 OK» не гарантирует нормальную работу сайта — Не забываем про сроки домена и SSL сертификата — Диагностика на вирусы и взлом: файлы, база, страницы
  • 38. Если Joomla неуязвима — взломают сайт через соседний по аккаунту — перехватят доступы через WI-FI в кафе, украдет троян на компьютере или в роутере, уведут через «фишинг» или взломанный email — «сбрутят» пароль от FTP/SSH/панели хостинга — внедрят вирусный код через phpmyadmin в базу данных — сам веб-мастер установит зараженный компонент — «рутанут» сервер VPS/хостинга 45 m / 37
  • 40. Памятка по орг. мерам — Делаем безопасным рабочее место — Защищаем каналы передачи данных — Управляем доступами к домену, сайту и хостингу — Выбираем надежных подрядчиков, работа по договору — Инструктируем сотрудников и подрядчиков — Разрабатываем памятку безопасности и контролируем исполнение предписаний — Выполняем регулярный аудит безопасности
  • 41. Безопасность рабочего места — Выбираем операционную систему — Регулярно обновляем компоненты ОС (браузер, плагины браузера, софт для работы с сайтом) — Устанавливаем антивирусное ПО — Регулярно выполняем полную проверку антивирусом — Используем менеджеры паролей — Отдельный рабочий компьютер или терминал — Устанавливаем мониторинговые (например, антифишинговые) расширения
  • 42. Защищаем свое подключение — Выбираем безопасное подключение (домашний роутер, 3G/LTE) — Используем VPN для открытых сетей
  • 43. Управляем доступами — Регулярно меняем пароли от панели хостинга, FTP, SSH, админ-панели сайта, базы данных — Устанавливаем сложные и разные пароли — Включаем логгирование операций в панелях и логи сервисов — Выдаем подрядчикам минимально необходимые доступы с минимальным сроком валидности — Меняем / деактивируем доступы сразу после завершения работы — Включаем двухфакторную аутентификацию, где возможно — Используем SSH ключи для подключения — Не используем FTP (используем SFTP, крайний случай FTPS)
  • 44. Беда от подрядчиков — Раскрывают доступы — Небезопасное рабочее место — Небезопасный сетевой канал — Не учитывают элементы защиты на сайте — Вносят новые уязвимости — Размещают вредоносный код — Оставляют инструменты для работы с БД, файловые менеджеры, чувствительные файлы на хостинге — Объекты социальной инженерии 52 m / 43
  • 45. Сотрудникам и подрядчикам — Разрабатываем политику безопасности для сотрудников и подрядчиков в виде инструкции — Знакомим подрядчиков с предписаниями и памяткой по безопасной работе с сайтом — Проверяем выполнение предписаний — Работаем по договору
  • 46. Аудит безопасности — Проводим аудит перед публичным анонсом проекта — Выполняем регулярные проверки на вирусы, взлом в процессе работы — Проводим аудит после работы подрядчиков — Своими силами или привлекая ИБ специалистов
  • 47. Безопасность и комфорт — Безопасность - это ограничения и запреты — Безопасность - это неудобно — Задача - найти соотношение между безопасностью и удобством работы — Автоматизация рутины, мониторинг, готовые предписания и безопасность как аутсорс
  • 48. Как делать диагностику — Сканирование файлов: https://revisium.com/ai/ 
 
 
 — Сканирование страниц сайта: https://rescan.pro 
 — Проверка базы данных
  • 49. Спасибо! Вопросы? Григорий Земсков Компания «Ревизиум» http://revisium.com http://vk.com/siteprotect http://facebook.com/Revisium http://twitter.com/revisium Telegram - @sitesecurity revisium.com/ai/ rescan.pro