ВидеоУязвимости и XSS атаки в Друпале. Видео
Данный доклад является наглядным пособием того, как по неосторожности пользователей или по нопытности разработчиков сайты становятся уязвимы. О том, как используются уязвимости на сайтах рассказал Александр Швец, и даже продемострировал это в онлайн режиме. Смотрим и учимся.
Для тех, кому не хочется смотреть видео, краткий итог:
Пользователям: никогда отдавайте форматы ввода, кроме filtered html. В противном случае, скрипты (js или php) не будут удалены из исходного кода страницы. А это значит, что можно легко получить доступ как минимум к аккаунту администратора. А чего дальше можно натворить - ограничения лишь в фантазии.
Разработчикам: все данные, введённые пользователями, проверяйте с помощью check_markup(), check_plain() и (от себя) check_url(). Последствия те же - хакер без труда получит доступ к админке.
- Spleshka
- 04.01.2012
- 14144
Комментарии
Спасибо за видео. Было интересно.
Почитайте кому интересно)
Данный код максимально повышет безопасность сайта на друпал и в частности Drupal 6. Во второй строке прописать ваш IP и тем самым кроме вас никто и никогда не попадёт в админку!
RewriteCond %{REQUEST_URI} ^/admin/
RewriteCond %{REMOTE_ADDR} !123.123.123.123
RewriteRule .* - [F]
Это не парсер ссылку сожрал, а надо между тэгом <a/> ставить какой-то анкор ;) За ссылку спасибо.
Забиваю в htaccess этот код. Чтобы удостовериться ставлю левый IP. Жду когда и как меня не пустят в адимнку. В результате спокойно захожу. Что не так делаю?
А вы какой IP вбиваете, тот который вообще в природе не существует и как по вашему это должно работать, я то показал пример с левым IP но не говорил что нужно брать его с потолка))) Если есть проблемы с .htaccess на Drupal.org полно статей и разбора всяких ошибок, я там вбил и мне как минимум сразу 10 страничек выпало, читай хоть зачитайся)))
Ага, круто.
Только и это обходится
Проблема только в динамическом ip , конечно можно попытаться задать маску , но вариант сомнительный .
Вариант самый надёжный, проверен лично!
"но вариант сомнительный" - имелось в виду создание маски .
)))
Задумался над вашим предложением и теперь четко понял , что ip не может быть потерян , его можно будет прописать заново , в случае необходимости )
Наверно, надежнее открыть доступ только с локалхоста и заходить через ssh туннель. Или сделать скрипт, который переключает параметр в .htaccess (он же читается при каждом обращению к сайту?). Перед заходом в админку выполнить скрипт через тот же ssh.
Пользователям: никогда отдавайте форматы ввода, кроме filtered html.
Комментировать