Laravel for Dummies
Se está descargando tu SlideShare.
×
![check_markup()
Rich text környezet
[#8] foobar n baz
HTML környezet
<p> <a href=”http:...](https://image.slidesharecdn.com/dcourse-security-100715030338-phpapp01/75/drupal-security-38-2048.jpg?cb=1670774259)
Eche un vistazo a continuación
Más Contenido Relacionado
Similares a Drupal security (20)
Drupal security
- 1. Drupal biztonság
- 2. Ki célpont?
- 3. ”mi nem vagyunk célpontok” Az adatok értékesek (pl. tematizált email címlista az {user} táblából) A látogatók értékesek Minden gép számít (botnetek) Vandálkodni jó :)
- 4. Ki célpont? Mindenki
- 5. Biztonságról általában Csak biztonságos és nem biztonságos oldal van, nincs félig biztonságos Egy rossz sor kód is elég ahhoz, hogy bárki bármit tehessen az oldalunkkal / szerverünkkel A webfejlesztő is programozó, ugyanúgy kell nekünk is törődnünk a biztonsággal, mint annak, aki az amerikai védelmi hivatalnak fejleszt.
- 6. Hálózati biztonság Titkosított protokollok használata (FTP és HTTP (feltöltés) kerülendő) WiFi esetén WPA titkosítás Total Commander nem jelszómegőrző
- 7. Így hallgathatlak le téged
- 8. Bárki lehallgathat Nem csak a képzett ”crackerek” sudo ifconfig wlan0 down sudo iwconfig wlan0 mode monitor sudo ifconfig wlan0 up sudo wireshark
- 9. Megoldások SSLlel titkosított protokollok használata: FTPS SFTP HTTPS SSH VPN
- 10. Szerverbeállítások FastCGI (DDoS ellen jobb) PHP suhosin használata php.ini open_basedir disabled_functions disabled_classes safe_mode kikapcsolása (hamis biztonságérzet, gyakorlatban nem sokat véd)
- 11. Formok biztonsága a hidden (és bármilyen más) mezők tartalmai ugyanúgy módosíthatóak a felhasználók által! (meglepően sok oldal törhető így) szerencsére ezt a form api kivédi
- 12. JavaScript A JavaScript által végzett ellenőrzés csak kényelmi szolgáltatás, minden ellenőrzést el kell végezni a szerver oldalon is!
- 13. Drupal biztonság
- 14. Alapok Soha, de soha ne nyúljunk a core kódhoz!
- 15. Alapok Használjuk a Drupal függvényeit és APIjait Nálunk tapasztaltabb emberek írták Könnyű megtanulni őket Hosszú távon úgyis gyorsabban végezzük el a feladatainkat
- 16. Alapok Minimális jogosultságok mindenkinek A következő jogosultságok megadásával odaadjuk a siteunkat: Administer content types Administer users Administer permissions Administer filters Administer site configuration
- 17. Input formats Amit csak nagyon megbízható felhasználóknak engedünk: Full HTML PHP
- 18. Access control Használd: node_access user_access hook_menu
- 19. hook_menu() 'access callback' ezzel a függvénnyel ellenőrzi a Drupal, hogy az adott felhasználó jogosulte az oldal megnézésére alapértelmezett érték: user_access 'access arguments' egy tömb, ami paraméterként adódik át user_access esetén elég egy elem, a jogosultság neve
- 20. hook_menu() Rossz példa: function hook_menu() { return array( 'foobar' => array( 'access callback' => TRUE, ), ); }
- 21. hook_menu() Még egy rossz példa function hook_menu() { return array('foobar' => array( 'access callback' => user_access('some permission'), )); }
- 22. hook_menu() Jó példa function hook_perm() { return array('do sg with my module'); } function hook_menu() { return array( 'foobar' => array( 'access arguments' => array('do sg with my module'), )); }
- 23. Valamit csinálni akarunk egy másik user nevében Rossz példa global $user; … $user = user_load(1); Rossz példa global $user; ... $user>uid = 1;
- 24. Valamit csinálni akarunk egy másik user nevében Jó példa global $user; … session_save_session(FALSE); $user = user_load(1); Ha nem muszáj a jelenlegi userre hivatkozni, akkor ne használjuk az user változót
- 25. SQL injection Adatbázisrétegnél volt róla szó Mindig kritikus hiba
- 26. Feltöltött fájlok Mindig ellenőrizni: méret kiterjesztés felbontás (képek esetén) file_check_location() Lehetőleg soha ne includeoljunk felhasználó által feltöltött fájlt
- 27. CSRF <img src=”http://drupal.org/logout”/>
- 28. CSRF Crosssite request forgery
- 29. Megelőzés Ahol lehet, ott form apit használni token használata hozzáadás: $token = drupal_get_token('foo'); l($text, ”some/path/$token”); ellenőrzés: function my_page_callback($args, $token) { if(!drupal_valid_token($token, 'foo')) drupal_access_denied(); else { ... } }
- 30. XSS Cross site scripting
- 31. XSS példa Node címek listázása saját theme függvénnyel: $output = '<li>' . $node>title . '</li>'; return $output; Mi van, ha a node címe a következő? '<script>alert(”U R H4XXD LULZ”);</script>'
- 32. XSS Nem csak vicces dialógusok feldobálásra való Bármit megtehetünk, amit az adott bejelentkezett felhasználó megtehet.
- 33. Példa $.get(Drupal.settings.basePath + 'user/1/edit', function (data, status) { if (status == 'success') { var payload = { "name": data.match(/id="edit-name" size="[0-9]*" value="([a-z0-9]*)"/)[1], "mail": data.match(/id="edit-mail" size="[0-9]*" value="([a-z0-9]*@[a-z0-9]*.[a-z0-9]*)"/)[1], "form_id": 'user_profile_form', "form_token": data.match(/id="edit-user-profile-form-form-token" value="([a-z0-9]*)"/)[1], build_id: data.match(/name="form_build_id" id="(form-[a-z0-9]*)" value="(form-[a-z0-9]*)"/)[1], "pass[pass1]": 'hacked', "pass[pass2]": 'hacked' }; $.post(Drupal.settings.basePath + 'user/1/edit', payload); } } );
- 34. Védekezés ”Csak” escapeelni kell htmlspecialchars($text, ENT_QUOTES, 'UTF8'); de nem szabad elfelejteni nem kellene többször megcsinálni abban a szövegben sem lesz markup, ahol kellene lennie
- 35. Problémák A környezet más értelmet ad a jeleknek I CAN HAZ <b>CHEEZBURGER</b> LULZ! <b> is not deprecated <span attribute=”$foo”>$bar</span>
- 36. Megoldások check_plain() check_markup() check_url() filter_xss() t()
- 37. check_plain() plain text környezet: <b> is not deprecated html környezet: <b> is not deprecated
- 38. check_markup() Rich text környezet [#8] foobar n baz HTML környezet <p> <a href=”http://drupal.org/node/8”> node/8 </a> foobar <br /> baz </p>
- 39. check_url() URL környezet http://asdf.com/?foo=42&bar=baz HTML környezet http://asdf.com/?foo=42&bar=baz
- 40. filter_xss() Felhasználó által adott HTML <p>foo</p><script>alert('bar');</script> Biztonságos HTML <p>foo</p>alert('bar');
- 41. filter_xss() Felhasználó által adott HTML <img src=”abc.jpg” onmouseover=”...” /> Biztonságos HTML <img src=”abc.jpg” />
- 42. filter_xss() Felhasználó által adott HTML <img src=”javascript:doSomethingBad()” /> Biztonságos HTML <img src=”doSomethingBad()” />
- 43. Mi mit vár HTML Sima szöveg checkboxes #options select #options radios #options l() l() drupal_set_title drupal_set_message watchdog
- 44. Mi mit vár HTML site mission slogan footer
- 45. Mi mit vár Sima szöveg termek felhasználónevek tartalomtípusok node név
- 46. Mi mit vár Rich text comment body node body
- 47. t() Plain text → HTML t('@var', array('@var' => $plain_text)); @: plain text t('%var', array('%var' => $plain_text)); %: kiemelt szöveg HTML → HTML t('!var', array('!var' => $html));
- 48. További olvasnivaló http://acko.net/blog/safestringtheoryfortheweb http://drupal.org/writingsecurecode http://drupal.org/securityteam http://owasp.org http://crackingdrupal.com http://api.drupal.org
