ВидеоУязвимости и XSS атаки в Друпале. Видео

Данный доклад является наглядным пособием того, как по неосторожности пользователей или по нопытности разработчиков сайты становятся уязвимы. О том, как используются уязвимости на сайтах рассказал Александр Швец, и даже продемострировал это в онлайн режиме. Смотрим и учимся.

Для тех, кому не хочется смотреть видео, краткий итог:

Пользователям: никогда отдавайте форматы ввода, кроме filtered html. В противном случае, скрипты (js или php) не будут удалены из исходного кода страницы. А это значит, что можно легко получить доступ как минимум к аккаунту администратора. А чего дальше можно натворить - ограничения лишь в фантазии.

Разработчикам: все данные, введённые пользователями, проверяйте с помощью check_markup(), check_plain() и (от себя) check_url(). Последствия те же - хакер без труда получит доступ к админке.

Комментарии

Аватар пользователя Максим
Максим написал:

Спасибо за видео. Было интересно.

09.01.2012 09:16
Аватар пользователя develway
develway написал:

Почитайте кому интересно)

Данный код максимально повышет безопасность сайта на друпал и в частности Drupal 6. Во второй строке прописать ваш IP и тем самым кроме вас никто и никогда не попадёт в админку!

RewriteCond %{REQUEST_URI} ^/admin/
RewriteCond %{REMOTE_ADDR} !123.123.123.123
RewriteRule .* - [F]

10.01.2012 21:45
Аватар пользователя SplasH
SplasH написал:

Это не парсер ссылку сожрал, а надо между тэгом <a/> ставить какой-то анкор ;) За ссылку спасибо.

11.01.2012 13:40
Аватар пользователя Константин
Константин написал:

Забиваю в htaccess этот код. Чтобы удостовериться ставлю левый IP. Жду когда и как меня не пустят в адимнку. В результате спокойно захожу. Что не так делаю?

12.01.2012 04:54
Аватар пользователя develway
develway написал:

А вы какой IP вбиваете, тот который вообще в природе не существует и как по вашему это должно работать, я то показал пример с левым IP но не говорил что нужно брать его с потолка))) Если есть проблемы с .htaccess на Drupal.org полно статей и разбора всяких ошибок, я там вбил и мне как минимум сразу 10 страничек выпало, читай хоть зачитайся)))

13.01.2012 16:28
Аватар пользователя Гость
Гость написал:

Ага, круто.
Только и это обходится

12.01.2012 11:01
Аватар пользователя ice
ice написал:

Проблема только в динамическом ip , конечно можно попытаться задать маску , но вариант сомнительный .

10.01.2012 21:52
Аватар пользователя develway
develway написал:

Вариант самый надёжный, проверен лично!

10.01.2012 22:07
Аватар пользователя ice
ice написал:

"но вариант сомнительный" - имелось в виду создание маски .

10.01.2012 22:17
Аватар пользователя develway
develway написал:

)))

10.01.2012 22:15
Аватар пользователя ice
ice написал:

Задумался над вашим предложением и теперь четко понял , что ip не может быть потерян , его можно будет прописать заново , в случае необходимости )

10.01.2012 22:20
Аватар пользователя юзер
юзер написал:

Наверно, надежнее открыть доступ только с локалхоста и заходить через ssh туннель. Или сделать скрипт, который переключает параметр в .htaccess (он же читается при каждом обращению к сайту?). Перед заходом в админку выполнить скрипт через тот же ssh.

19.01.2012 00:25

Комментировать

                                                                  
 88        88   88888888ba    88888888888       88    ad88888ba   
 88        88   88      "8b   88              ,d88   d8"     "88  
 88        88   88      ,8P   88            888888   8P       88  
 88aaaaaaaa88   88aaaaaa8P'   88aaaaa           88   Y8,    ,d88  
 88""""""""88   88""""""'     88"""""           88    "PPPPPP"88  
 88        88   88            88                88            8P  
 88        88   88            88                88   8b,    a8P   
 88        88   88            88                88   `"Y8888P'
Enter the code depicted in ASCII art style.