ВидеоУязвимости и XSS атаки в Друпале. Видео

Данный доклад является наглядным пособием того, как по неосторожности пользователей или по нопытности разработчиков сайты становятся уязвимы. О том, как используются уязвимости на сайтах рассказал Александр Швец, и даже продемострировал это в онлайн режиме. Смотрим и учимся.

Для тех, кому не хочется смотреть видео, краткий итог:

Пользователям: никогда отдавайте форматы ввода, кроме filtered html. В противном случае, скрипты (js или php) не будут удалены из исходного кода страницы. А это значит, что можно легко получить доступ как минимум к аккаунту администратора. А чего дальше можно натворить - ограничения лишь в фантазии.

Разработчикам: все данные, введённые пользователями, проверяйте с помощью check_markup(), check_plain() и (от себя) check_url(). Последствия те же - хакер без труда получит доступ к админке.

Комментарии

Аватар пользователя Максим
Максим написал:

Спасибо за видео. Было интересно.

09.01.2012 09:16
Аватар пользователя develway
develway написал:

Почитайте кому интересно)

Данный код максимально повышет безопасность сайта на друпал и в частности Drupal 6. Во второй строке прописать ваш IP и тем самым кроме вас никто и никогда не попадёт в админку!

RewriteCond %{REQUEST_URI} ^/admin/
RewriteCond %{REMOTE_ADDR} !123.123.123.123
RewriteRule .* - [F]

10.01.2012 21:45
Аватар пользователя Spleshka
Spleshka написал:

Это не парсер ссылку сожрал, а надо между тэгом <a/> ставить какой-то анкор ;) За ссылку спасибо.

11.01.2012 13:40
Аватар пользователя Константин
Константин написал:

Забиваю в htaccess этот код. Чтобы удостовериться ставлю левый IP. Жду когда и как меня не пустят в адимнку. В результате спокойно захожу. Что не так делаю?

12.01.2012 04:54
Аватар пользователя develway
develway написал:

А вы какой IP вбиваете, тот который вообще в природе не существует и как по вашему это должно работать, я то показал пример с левым IP но не говорил что нужно брать его с потолка))) Если есть проблемы с .htaccess на Drupal.org полно статей и разбора всяких ошибок, я там вбил и мне как минимум сразу 10 страничек выпало, читай хоть зачитайся)))

13.01.2012 16:28
Аватар пользователя Гость
Гость написал:

Ага, круто.
Только и это обходится

12.01.2012 11:01
Аватар пользователя ice
ice написал:

Проблема только в динамическом ip , конечно можно попытаться задать маску , но вариант сомнительный .

10.01.2012 21:52
Аватар пользователя develway
develway написал:

Вариант самый надёжный, проверен лично!

10.01.2012 22:07
Аватар пользователя ice
ice написал:

"но вариант сомнительный" - имелось в виду создание маски .

10.01.2012 22:17
Аватар пользователя develway
develway написал:

)))

10.01.2012 22:15
Аватар пользователя ice
ice написал:

Задумался над вашим предложением и теперь четко понял , что ip не может быть потерян , его можно будет прописать заново , в случае необходимости )

10.01.2012 22:20
Аватар пользователя юзер
юзер написал:

Наверно, надежнее открыть доступ только с локалхоста и заходить через ssh туннель. Или сделать скрипт, который переключает параметр в .htaccess (он же читается при каждом обращению к сайту?). Перед заходом в админку выполнить скрипт через тот же ssh.

19.01.2012 00:25
Аватар пользователя Саша
Саша написал:

Пользователям: никогда отдавайте форматы ввода, кроме filtered html.

13.07.2014 17:43
Аватар пользователя Гость
Гость написал:
13.07.2014 17:44

Комментировать