drupal kurzus security (drupal 7)

Drupal biztonság

Tuesday, April 3, 12

Ki célpont?


”mi nem vagyunk célpontok”

n Az adatok értékesek (pl. tematizált email címlista az {user} táblából)

n A látogatók értékesekn Minden gép számít

(botnetek)n Vandálkodni jó :)


Ki célpont?

Mindenki


Biztonságról általábann Csak biztonságos és nem

biztonságos oldal van, nincs félig biztonságos

n Egy rossz sor kód is elég ahhoz, hogy bárki bármit tehessen az oldalunkkal / szerverünkkel

n A webfejlesztő is programozó, ugyanúgy kell nekünk is törődnünk a biztonsággal, mint annak, aki az amerikai védelmi hivatalnak fejleszt.


Hálózati biztonság

n Titkosított protokollok használata (FTP és HTTP (feltöltés) kerülendő)

n Wi-Fi esetén WPA titkosításn Total Commander nem jelszómegőrző


Így hallgathatlak le téged


Bárki lehallgathat

n Nem csak a képzett ”crackerek”sudo ifconfig wlan0 down

sudo iwconfig wlan0 mode monitor

sudo ifconfig wlan0 up

sudo wireshark


Megoldások

n SSL-lel titkosított protokollok használata:n FTPSn SFTPn HTTPSn SSH

n VPN


Szerverbeállításokn FastCGI (DDoS ellen jobb)

n PHP

n suhosin használata

n php.ini

n open_basedir

n disabled_functions

n disabled_classes

n safe_mode kikapcsolása (hamis biztonságérzet, gyakorlatban nem sokat véd)


Formok biztonsága

n a hidden (és bármilyen más) mezők tartalmai ugyanúgy módosíthatóak a felhasználók által! (meglepően sok oldal törhető így)

n szerencsére ezt a form api kivédi


Formok biztonsága

n Bizonyos érzékeny adatok (pl.: bankkártya szám) beviteli mezőjénél az autocomplete=”off” attribútum használata


HTTP kérésekn Írás soha ne legyen GETn Létrehozás, szerkesztés az POST (form miatt), de a törlés is

legyen az!n Nem árt, ha rákérdezünk a felhasználóra törlés előtt

(Drupalban: confirm_form() függvény)n Ha bejut valamilyen bot, akkor a linkeken végigmegy →

ha ez egy admin felület, akkor törölheti az összes tartalmat


HTTP kérések

n Érzékeny adatot URL-ben sohan http://example.com/register.php?

username=foo&password=bar&[email protected]


JavaScript

n A JavaScript által végzett ellenőrzés csak kényelmi szolgáltatás, minden ellenőrzést el kell végezni a szerver oldalon is!


JavaScriptn Valós életből vett ellenpélda: <script language="javascript">

</script>

File inclusion

n File-t SOHA nem include-olunk URL alapjánn Triviális példa:

http://example.com/index.php?p=../../../../etc/passwd

http://example.com/index.php?p=index.php


Drupal biztonság


Alapok

n Soha, de soha ne nyúljunk a core kódhoz!


Alapok

n Használjuk a Drupal függvényeit és API-jaitn Nálunk tapasztaltabb emberek írtákn Könnyű megtanulni őketn Hosszú távon úgyis gyorsabban végezzük el a

feladatainkat


Alapokn Minimális jogosultságok mindenkinekn A következő jogosultságok megadásával odaadjuk a

siteunkat:n Administer content typesn Administer usersn Administer permissionsn Administer filtersn Administer site configuration


Input formats

n Amit csak nagyon megbízható felhasználóknak engedünk:n Full HTMLn PHP


Access control

n Használd:n node_accessn user_accessn hook_menu


hook_menu()n 'access callback'

n ezzel a függvénnyel ellenőrzi a Drupal, hogy az adott felhasználó jogosult-e az oldal megnézésére

n alapértelmezett érték: user_accessn 'access arguments'

n egy tömb, ami paraméterként adódik átn user_access esetén elég egy elem, a jogosultság

neveTuesday, April 3, 12

hook_menu()n Rossz példa:

function hook_menu() {

return array(

'foobar' => array(

'access callback' => TRUE,

),

);

}Tuesday, April 3, 12

hook_menu()

n Még egy rossz példa


return array('foobar' => array(

'access callback' => user_access('some permission'),

));

}


hook_menu()n Jó példa

function hook_perm() { return array('do sg with my module'); }


return array( 'foobar' => array(

'access arguments' => array('do sg with my module'),

));

}


Valamit csinálni akarunk egy másik user nevében

n Rossz példa

global $user;

…

$user = user_load(1);

n Rossz példa

global $user;

...

$user->uid = 1;


Valamit csinálni akarunk egy másik user nevében

n Jó példa

global $user;

…

drupal_save_session(FALSE);

$user = user_load(1);n Ha nem muszáj a jelenlegi userre hivatkozni, akkor ne

használjuk az user változót


SQL injection

n Nem megfelelően kezelt sztring beillesztése SQL lekérésbe

n Mindig kritikus hiba


SQL injection

n mysqli_query(”SELECT * FROM node WHERE nid = ” . $_GET['nid']);

n Ez ilyesztő


SQL injection

n mysqli_query(”SELECT * FROM node WHERE nid = ” . $_REQUEST['nid']);

n Ez még ilyesztőbb


SQL injection

n mysqli_query($_REQUEST['searchQuery']);

n Ez talán a legrémesebb.n Van ilyen: Google ”inurl:SELECT inurl:FROM inurl:WHERE”


SQL injection

n Nem SQL injection, de sok kezdő fejlesztő beleszaladn SELECT * FROM ”user” WHERE ”name” LIKE '%

$username%'


Feltöltött fájlokn Mindig ellenőrizni:

n méretn kiterjesztésn felbontás (képek esetén)

n file_check_location()n Lehetőleg soha ne include-oljunk felhasználó által feltöltött

fájlt


CSRF

<img src=”http://drupal.org/logout”/>


CSRF

n Cross-site request forgery


Megelőzésn Ahol lehet, ott form api-t használnin token használata

n hozzáadás:$token = drupal_get_token('foo');l($text, ”some/path/$token”);

n ellenőrzés:function my_page_callback($args, $token) {

if(!drupal_valid_token($token, 'foo'))drupal_access_denied();

else {...

}}


XSS

n Cross site scripting


XSS példa

n Node címek listázása saját theme függvénnyel:$output = '<li>' . $node->title . '</li>';

return $output;

n Mi van, ha a node címe a következő?'<script>alert(”U R H4XXD LULZ”);

</script>'


XSS

n Nem csak vicces dialógusok feldobálásra valón Bármit megtehetünk, amit az adott bejelentkezett

felhasználó megtehet.


Példa$.get(Drupal.settings.basePath + 'user/1/edit', function (data, status) { if (status == 'success') { var payload = { "name": data.match(/id="edit-name" size="[0-9]*" value="([a-z0-9]*)"/)[1], "mail": data.match(/id="edit-mail" size="[0-9]*" value="([a-z0-9]*@[a-z0-9]*.[a-z0-9]*)"/)[1], "form_id": 'user_profile_form', "form_token": data.match(/id="edit-user-profile-form-form-token" value="([a-z0-9]*)"/)[1], build_id:

data.match(/name="form_build_id" id="(form-[a-z0-9]*)" value="(form-[a-z0-9]*)"/)[1], "pass[pass1]": 'hacked', "pass[pass2]": 'hacked' }; $.post(Drupal.settings.basePath + 'user/1/edit', payload); } } );


Védekezés

n ”Csak” escape-elni kelln htmlspecialchars($text, ENT_QUOTES, 'UTF-8');n de nem szabad elfelejtenin nem kellene többször megcsinálnin abban a szövegben sem lesz markup, ahol kellene

lennie


Problémák

n A környezet más értelmet ad a jeleknek

I CAN HAZ <b>CHEEZBURGER</b> LULZ!

<b> is not deprecated

<span attribute=”$foo”>$bar</span>


Megoldások

n check_plain()n check_markup()n check_url()n filter_xss()n t()


check_plain()

n plain text környezet:

<b> is not deprecatedn html környezet:

<b> is not deprecated


check_markup()n Rich text környezet

[#8] foobar \n baz

n HTML környezet

<p> <a href=”http://drupal.org/node/8”> node/8 </a> foobar <br /> baz </p>


check_url()

n URL környezet

http://asdf.com/?foo=42&bar=bazn HTML környezet

http://asdf.com/?foo=42&bar=baz


filter_xss()

n Felhasználó által adott HTML

<p>foo</p><script>alert('bar');</script>n Biztonságos HTML

<p>foo</p>alert('bar');


filter_xss()


<img src=”abc.jpg” onmouseover=”...” />n Biztonságos HTML

<img src=”abc.jpg” />


filter_xss()


<img src=”javascript:doSomethingBad()” />n Biztonságos HTML

<img src=”doSomethingBad()” />


Mi mit vár

n HTMLn checkboxes #optionsn radios #optionsn l()n drupal_set_titlen drupal_set_messagen watchdog

n Sima szövegn select #optionsn l()


Mi mit vár

n HTMLn site missionn slogann footer


Mi mit vár

n Sima szövegn termekn felhasználónevekn tartalomtípusokn node név


Mi mit vár

n Rich textn comment bodyn node body


t()n Plain text → HTML

n t('@var', array('@var' => $plain_text));n @: plain text

n t('%var', array('%var' => $plain_text));n %: kiemelt szöveg

n HTML → HTMLn t('!var', array('!var' => $html));


.htaccess

n Nagyon fontos fájl!n Ha nincs ott, akkor könnyen okozhat sebezhetőségetn pl.: directory listing + backup a settings.php-ről


Példák sebezhetőségekre

n Webshopnál az áru mennyisége nem ”1”, hanem ”.1”n Webshop: ár eltárolása hidden mezőben, átírva 0-ra ingyen

lehet rendelni


Példák sebezhetőségekre

n Sütiben felhasználónév vagy userid eltárolásan Sok oldalnál nyitvahagyják a memcache portját (11211),

így a cache-elt adatok könnyedén manipulálhatók.


További olvasnivaló

n http://acko.net/blog/safe-string-theory-for-the-webn http://drupal.org/writing-secure-coden http://drupal.org/security-teamn http://owasp.orgn http://crackingdrupal.comn http://api.drupal.org


[email protected]

Belga-magyar cég

Közép-Európa egyik legjobb csapata

<15 fő

Utazás, csoki, sör


mailto:[email protected]

mailto:[email protected]

drupal kurzus security (drupal 7)

Documents