Drupal kurzus security (Drupal 7)

  • View
    1.651

  • Download
    1

Embed Size (px)

DESCRIPTION

 

Text of Drupal kurzus security (Drupal 7)

  • 1. Drupal biztonsgTuesday, April 3, 12
  • 2. Ki clpont?Tuesday, April 3, 12
  • 3. mi nem vagyunk clpontok n Az adatok rtkesek (pl. tematizlt email cmlista az {user} tblbl) n A ltogatk rtkesek n Minden gp szmt (botnetek) n Vandlkodni j :)Tuesday, April 3, 12
  • 4. Ki clpont? MindenkiTuesday, April 3, 12
  • 5. Biztonsgrl ltalban n Csak biztonsgos s nem biztonsgos oldal van, nincs flig biztonsgos n Egy rossz sor kd is elg ahhoz, hogy brki brmit tehessen az oldalunkkal / szervernkkel n A webfejleszt is programoz, ugyangy kell neknk is trdnnk a biztonsggal, mint annak, aki az amerikai vdelmi hivatalnak fejleszt.Tuesday, April 3, 12
  • 6. Hlzati biztonsg n Titkostott protokollok hasznlata (FTP s HTTP (feltlts) kerlend) n Wi-Fi esetn WPA titkosts n Total Commander nem jelszmegrzTuesday, April 3, 12
  • 7. gy hallgathatlak le tgedTuesday, April 3, 12
  • 8. Brki lehallgathat n Nem csak a kpzett crackerek sudo ifconfig wlan0 down sudo iwconfig wlan0 mode monitor sudo ifconfig wlan0 up sudo wiresharkTuesday, April 3, 12
  • 9. Megoldsok n SSL-lel titkostott protokollok hasznlata: n FTPS n SFTP n HTTPS n SSH n VPNTuesday, April 3, 12
  • 10. Szerverbelltsok n FastCGI (DDoS ellen jobb) n PHP n suhosin hasznlata n php.ini n open_basedir n disabled_functions n disabled_classes n safe_mode kikapcsolsa (hamis biztonsgrzet, gyakorlatban nem sokat vd)Tuesday, April 3, 12
  • 11. Formok biztonsga n a hidden (s brmilyen ms) mezk tartalmai ugyangy mdosthatak a felhasznlk ltal! (meglepen sok oldal trhet gy) n szerencsre ezt a form api kivdiTuesday, April 3, 12
  • 12. Formok biztonsga n Bizonyos rzkeny adatok (pl.: bankkrtya szm) beviteli mezjnl az autocomplete=off attribtum hasznlataTuesday, April 3, 12
  • 13. HTTP krsek n rs soha ne legyen GET n Ltrehozs, szerkeszts az POST (form miatt), de a trls is legyen az! n Nem rt, ha rkrdeznk a felhasznlra trls eltt (Drupalban: conrm_form() fggvny) n Ha bejut valamilyen bot, akkor a linkeken vgigmegy ha ez egy admin fellet, akkor trlheti az sszes tartalmatTuesday, April 3, 12
  • 14. HTTP krsek n rzkeny adatot URL-ben soha n http://example.com/register.php? username=foo&password=bar&mail=foobar@example.comTuesday, April 3, 12
  • 15. JavaScript n A JavaScript ltal vgzett ellenrzs csak knyelmi szolgltats, minden ellenrzst el kell vgezni a szerver oldalon is!Tuesday, April 3, 12
  • 16. JavaScript n Vals letbl vett ellenplda: Tuesday, April 3, 12
  • 17. File inclusion n File-t SOHA nem include-olunk URL alapjn n Trivilis plda: http://example.com/index.php?p=../../../../etc/ passwd http://example.com/index.php?p=index.phpTuesday, April 3, 12
  • 18. Drupal biztonsgTuesday, April 3, 12
  • 19. Alapok n Soha, de soha ne nyljunk a core kdhoz!Tuesday, April 3, 12
  • 20. Alapok n Hasznljuk a Drupal fggvnyeit s API-jait n Nlunk tapasztaltabb emberek rtk n Knny megtanulni ket n Hossz tvon gyis gyorsabban vgezzk el a feladatainkatTuesday, April 3, 12
  • 21. Alapok n Minimlis jogosultsgok mindenkinek n A kvetkez jogosultsgok megadsval odaadjuk a siteunkat: n Administer content types n Administer users n Administer permissions n Administer lters n Administer site congurationTuesday, April 3, 12
  • 22. Input formats n Amit csak nagyon megbzhat felhasznlknak engednk: n Full HTML n PHPTuesday, April 3, 12
  • 23. Access control n Hasznld: n node_access n user_access n hook_menuTuesday, April 3, 12
  • 24. hook_menu() n access callback n ezzel a fggvnnyel ellenrzi a Drupal, hogy az adott felhasznl jogosult-e az oldal megnzsre n alaprtelmezett rtk: user_access n access arguments n egy tmb, ami paramterknt addik t n user_access esetn elg egy elem, a jogosultsg neveTuesday, April 3, 12
  • 25. hook_menu() n Rossz plda: function hook_menu() { return array( foobar => array( access callback => TRUE, ), ); }Tuesday, April 3, 12
  • 26. hook_menu() n M