Drupal biztonság. Tuesday, April 3, 12

Drupal biztonság

Tuesday, April 3, 12

Ki célpont?


”mi nem vagyunk célpontok” n

n

n

n

Az adatok értékesek (pl. tematizált email címlista az {user} táblából) A látogatók értékesek Minden gép számít (botnetek) Vandálkodni jó :)


Ki célpont?

Mindenki Tuesday, April 3, 12

Biztonságról általában n

n

n

Csak biztonságos és nem biztonságos oldal van, nincs félig biztonságos Egy rossz sor kód is elég ahhoz, hogy bárki bármit tehessen az oldalunkkal / szerverünkkel A webfejlesztő is programozó, ugyanúgy kell nekünk is törődnünk a biztonsággal, mint annak, aki az amerikai védelmi hivatalnak fejleszt.


Hálózati biztonság n

Titkosított protokollok használata (FTP és HTTP (feltöltés) kerülendő)

n

Wi-Fi esetén WPA titkosítás

n

Total Commander nem jelszómegőrző


Így hallgathatlak le téged


Bárki lehallgathat n

Nem csak a képzett ”crackerek” sudo ifconfig wlan0 down sudo iwconfig wlan0 mode monitor sudo ifconfig wlan0 up sudo wireshark


Megoldások n

n

SSL-lel titkosított protokollok használata: n

FTPS

n

SFTP

n

HTTPS

n

SSH

VPN


Szerverbeállítások n

FastCGI (DDoS ellen jobb)

n

PHP n

suhosin használata

n

php.ini n

open_basedir

n

disabled_functions

n

disabled_classes

n


safe_mode kikapcsolása (hamis biztonságérzet, gyakorlatban nem sokat véd)

Formok biztonsága

n

n

a hidden (és bármilyen más) mezők tartalmai ugyanúgy módosíthatóak a felhasználók által! (meglepően sok oldal törhető így) szerencsére ezt a form api kivédi


Formok biztonsága

n

Bizonyos érzékeny adatok (pl.: bankkártya szám) beviteli mezőjénél az autocomplete=”off” attribútum használata


HTTP kérések n

n

n

n

Írás soha ne legyen GET Létrehozás, szerkesztés az POST (form miatt), de a törlés is legyen az! Nem árt, ha rákérdezünk a felhasználóra törlés előtt (Drupalban: confirm_form() függvény) Ha bejut valamilyen bot, akkor a linkeken végigmegy → ha ez egy admin felület, akkor törölheti az összes tartalmat


HTTP kérések

n

n

Érzékeny adatot URL-ben soha http://example.com/register.php? [email protected]


JavaScript

n

A JavaScript által végzett ellenőrzés csak kényelmi szolgáltatás, minden ellenőrzést el kell végezni a szerver oldalon is!


JavaScript n

Valós életből vett ellenpélda: <script language="javascript">


File inclusion n

File-t SOHA nem include-olunk URL alapján

n

Triviális példa: http://example.com/index.php?p=../../../../etc/ passwd http://example.com/index.php?p=index.php


Drupal biztonság


Alapok

n

Soha, de soha ne nyúljunk a core kódhoz!


Alapok n

Használjuk a Drupal függvényeit és API-jait n

Nálunk tapasztaltabb emberek írták

n

Könnyű megtanulni őket

n


Hosszú távon úgyis gyorsabban végezzük el a feladatainkat

Alapok n

n

Minimális jogosultságok mindenkinek A következő jogosultságok megadásával odaadjuk a siteunkat:


n

Administer content types

n

Administer users

n

Administer permissions

n

Administer filters

n

Administer site configuration

Input formats

n

Amit csak nagyon megbízható felhasználóknak engedünk:


n

Full HTML

n

PHP

Access control n

Használd:


n

node_access

n

user_access

n

hook_menu

hook_menu() n

'access callback' n

n

n

ezzel a függvénnyel ellenőrzi a Drupal, hogy az adott felhasználó jogosult-e az oldal megnézésére alapértelmezett érték: user_access

'access arguments' n

n


egy tömb, ami paraméterként adódik át user_access esetén elég egy elem, a jogosultság neve

hook_menu() n

Rossz példa: function hook_menu() { return array( 'foobar' => array( 'access callback' => TRUE, ), ); }


hook_menu() n

Még egy rossz példa function hook_menu() { return array('foobar' => array( 'access callback' => user_access('some permission'), )); }


hook_menu() n

Jó példa

function hook_perm() { return array('do sg with my module'); } function hook_menu() { return array( 'foobar' => array( 'access arguments' => array('do sg with my module'), )); } Tuesday, April 3, 12

Valamit csinálni akarunk egy másik user nevében n

Rossz példa global $user; … $user = user_load(1);

n

Rossz példa global $user; ... $user->uid = 1;


Valamit csinálni akarunk egy másik user nevében n

Jó példa global $user; … drupal_save_session(FALSE); $user = user_load(1);

n

Ha nem muszáj a jelenlegi userre hivatkozni, akkor ne használjuk az user változót


SQL injection

n

n

Nem megfelelően kezelt sztring beillesztése SQL lekérésbe Mindig kritikus hiba


SQL injection

n

n

mysqli_query(”SELECT * FROM node WHERE nid = ” . $_GET['nid']);

Ez ilyesztő


SQL injection

n

n

mysqli_query(”SELECT * FROM node WHERE nid = ” . $_REQUEST['nid']);

Ez még ilyesztőbb


SQL injection

n

mysqli_query($_REQUEST['searchQuery']);

n

Ez talán a legrémesebb.

n

Van ilyen: Google ”inurl:SELECT inurl:FROM inurl:WHERE”


SQL injection

n

n

Nem SQL injection, de sok kezdő fejlesztő beleszalad SELECT * FROM ”user” WHERE ”name” LIKE '% $username%'


Feltöltött fájlok n

n

n

Mindig ellenőrizni: n

méret

n

kiterjesztés

n

felbontás (képek esetén)

file_check_location() Lehetőleg soha ne include-oljunk felhasználó által feltöltött fájlt


CSRF


CSRF

n

Cross-site request forgery


Megelőzés n n

Ahol lehet, ott form api-t használni token használata n hozzáadás: $token = drupal_get_token('foo'); l($text, ”some/path/$token”); n

ellenőrzés: function my_page_callback($args, $token) { if(!drupal_valid_token($token, 'foo')) drupal_access_denied(); else { ... } }


XSS

n

Cross site scripting


XSS példa n

Node címek listázása saját theme függvénnyel: $output = '
' . $node->title . '
'; return $output;

n

Mi van, ha a node címe a következő? '<script>alert(”U R H4XXD LULZ”); '


XSS

n

n

Nem csak vicces dialógusok feldobálásra való Bármit megtehetünk, amit az adott bejelentkezett felhasználó megtehet.


Példa $.get(Drupal.settings.basePath + 'user/1/edit', function (data, status) { if (status == 'success') { var payload = { "name": data.match(/id="edit-name" size="[0-9]*" value="([a-z0-9]*)"/)[1], "mail": data.match(/id="edit-mail" size="[0-9]*" value="([a-z0-9]*@[a-z0-9]*.[a-z0-9]*)"/)[1], "form_id": 'user_profile_form', "form_token": data.match(/id="edit-user-profile-form-form-token" value="([a-z0-9]*)"/)[1], build_id: data.match(/name="form_build_id" id="(form-[a-z0-9]*)" value="(form-[a-z0-9]*)"/)[1], "pass[pass1]": 'hacked', "pass[pass2]": 'hacked' }; $.post(Drupal.settings.basePath + 'user/1/edit', payload); } } );


Védekezés n

”Csak” escape-elni kell n

htmlspecialchars($text, ENT_QUOTES, 'UTF-8');

n

de nem szabad elfelejteni

n

nem kellene többször megcsinálni

n


abban a szövegben sem lesz markup, ahol kellene lennie

Problémák n

A környezet más értelmet ad a jeleknek I CAN HAZ CHEEZBURGER LULZ! is not deprecated <span attribute=”$foo”>$bar


Megoldások n

check_plain()

n

check_markup()

n

check_url()

n

filter_xss()

n

t()


check_plain() n

plain text környezet: is not deprecated

n

html környezet: is not deprecated


check_markup() n

Rich text környezet [#8] foobar \n baz

n

HTML környezet
node/8 foobar
baz


check_url() n

URL környezet http://asdf.com/?foo=42&bar=baz

n

HTML környezet http://asdf.com/?foo=42&bar=baz


filter_xss() n

Felhasználó által adott HTML
foo
<script>alert('bar');

n

Biztonságos HTML
foo
alert('bar');


filter_xss() n


n

Biztonságos HTML


filter_xss() n


n

Biztonságos HTML


Mi mit vár n

HTML n n n n n n


n

checkboxes #options radios #options l() drupal_set_title drupal_set_message watchdog

Sima szöveg n

select #options

n

l()

Mi mit vár n

HTML


n

site mission

n

slogan

n

footer

Mi mit vár n

Sima szöveg


n

termek

n

felhasználónevek

n

tartalomtípusok

n

node név

Mi mit vár

n

Rich text


n

comment body

n

node body

t() n

Plain text → HTML n

t('@var', array('@var' => $plain_text)); n

n

t('%var', array('%var' => $plain_text)); n

n

@: plain text %: kiemelt szöveg

HTML → HTML n


t('!var', array('!var' => $html));

.htaccess

n

Nagyon fontos fájl!

n

Ha nincs ott, akkor könnyen okozhat sebezhetőséget

n

pl.: directory listing + backup a settings.php-ről


Példák sebezhetőségekre

Webshopnál az áru mennyisége nem ”1”, hanem ”.1”

n

n

Webshop: ár eltárolása hidden mezőben, átírva 0-ra ingyen lehet rendelni


Példák sebezhetőségekre

n

n

Sütiben felhasználónév vagy userid eltárolása Sok oldalnál nyitvahagyják a memcache portját (11211), így a cache-elt adatok könnyedén manipulálhatók.


További olvasnivaló n

http://acko.net/blog/safe-string-theory-for-the-web

n

http://drupal.org/writing-secure-code

n

http://drupal.org/security-team

n

http://owasp.org

n

http://crackingdrupal.com

n

http://api.drupal.org


[email protected] Belga-magyar cég Közép-Európa egyik legjobb csapata <15 fő Utazás, csoki, sör


Drupal biztonság. Tuesday, April 3, 12

Recommend Documents