My second presentation at DrupalCamp Sofia 2011 about securing Drupal sites.

1. Drupal Security DrupalCamp Bulgaria 2011

2. Вашия сайт е уязвим! Дори малък, личен сайт може да бъде хакнат и освен това използван за атаки към посетителите му. Искам ВИЕ да видите заплахите.

4. От всеки, които пише код се очаква, че ще ги използва по този начин.

5. APIs и модули, които са замислени да бъдат сигурни, биха могли да бъдат използвани или конфигурирани по кофти начин

7. http://drupal.org/writing-secure-code

8. http://drupal.org/security/secure-configuration

9. Cracking Drupal http://crackingdrupal.com/

10. http://heine.familiedeelstra.com/

11. http://drupal.org/project/security_review

12. http://drupal.org/project/coder

16. В профила си на drupal.org се абонирайте за Security Advisory emails.

17. Измислете си консистентен метод за ъпдейтване на вашите проекти (VCS или drush) и никога не преставайте да го правите

20. Total Commander, FileZilla?

21. ДА: SSH, sFTP, FTPS, HTTPS

22. Сървърът ви обновява ли се редовно с най-новите security fix-ове за PHP, Apache, mySQL, etc?

24. Може ли потребителя да го сменя?

25. В какъв контекст се използва текста?

26. Текста трябва да бъде ескейпван в зависимост от контекста, в който е използван

28. Мейл контекст

29. Database контекст (SQL)

30. Файлова система

34. Demo If you can do it, XSS can do it better!

37. Може да бъде пуснато през img тагове.

38. Може да бъде пуснато през JS от друг сайт.

39. Уязвими са както $_GET, така и $_POST

40. Form tokens или URL tokens вързани със сесията ви защитават.

42. http://drupal.org/security­team/risk­levels – също има някои примери

44. Това обикновено означава, че потребител на сайта има възможност да изпълнява PHP команди или да include-не файл с PHP и да го изпълни

45. Очевиден пример, но често се допуска поради недоглеждане: позволяване на потребителите да използват PHP input format

46. http://xkcd.com/327/

48. Понякога това може да доведе до изтриване или променяне на данни

49. В други случаи може да позволи получаване на лична информация, като е-мейл адреси, hashed passwords, etc. които да бъдат използвани като база на следваща атака

51. Разкриване на информация – предполага се, че дадено съдържание е защитено, но се оказва, че не е

52. Authentication bypass – нормални потребители имат достъп до административна страница или операция

54. Благодаря Търсите си работа? http://mmartinov.com