SlideShare una empresa de Scribd logo

Desarrollo Seguro en Drupal - DrupalCamp Spain 2013

Z
zekivazquez

Slides from my talk about secure development using Drupal, in DrupalCamp Spain 2013.

Tecnología
1 de 35
Descargar para leer sin conexión
Desarrollo seguro en Drupal Ezequiel V´zquez De la calle a Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Sobre mi Estudios Ingeniero T´cnico en Inform´tica - UCA e a M´ster en Ingenier´ del Software - US a ıa Experto en Seguridad de las TIC - US Experiencia 3+ a˜os como desarrollador web, casi 2 en Drupal n Actualmente: DevOps Drupal Python, C++, GNU/Linux, network programming. . . Aficiones Rock’n’Roll (guitarra) y videojuegos Narrativa fant´stica, rol, cine. . . a Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
´ Indice 1 Introducci´n o 2 Seguridad en profundidad 3 Seguridad en Drupal 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
´ Indice 1 Introducci´n o 2 Seguridad en profundidad 3 Seguridad en Drupal 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Seguridad ¿Y esto de qu´ va? e Seguridad web Exposici´n a internet o Vulnerabilidades Explotaci´n o ¿Hackers? ... Dinero Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Seguridad Pilares de la seguridad Confidencialidad Integridad Disponibilidad Autenticaci´n o Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Seguridad Principios b´sicos a M´ ınimo privilegio Eslab´n m´s d´bil o a e Proporcionalidad Participaci´n universal o Integraci´n con ciclo de o vida completo Seguridad en profundidad Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
´ Indice 1 Introducci´n o 2 Seguridad en profundidad 3 Seguridad en Drupal 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Seguridad en profundidad Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
¿Por qu´ en profundidad? e El Abismo de Helm era inexpugnable. . . Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Servidor Arquitectura mas com´n para Drupal u Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Servidor Apache Ocultar versi´n: ServerSignature Off o P´ginas de error personalizadas a Limitar m´todos HTTP (s´lo GET, POST y HEAD) e o SSL: Forzar conexi´n cifrada, si est´ disponible o a Ajustar timeout, tama˜o de peticiones, m´ximo de clientes n a simult´neos. . . a Permisos sobre directorios (Allow/Deny, -Indexes, -Multiviews) Mod security, mod chroot ¡Monitorizar los logs! Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Servidor PHP Actualizar → 5.2 ¡deprecated! Limitar funciones: phpinfo, eval, exec, shell exec, system. . . Hijacking : asociar IP y sesi´n o HTTP Only cookies Evitar fugas: expose php=Off Desactivar ejecuci´n remota o Desactivar “magic quotes” (5.2) Controlar tama˜o de POST n Controlar uso de recursos Proteger configuraci´n contra o escritura Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Servidor MySQL Limitar usuario a una base de datos root con contrase˜a segura, no conectar remotamente n No permitir acceso an´nimo o Emplear la mysql secure installation skip-networking o bind=localhost Ejecutar MySQL enjaulado con chroot Activar el registro de logs (¡y revisarlos!) Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
´ Indice 1 Introducci´n o 2 Seguridad en profundidad 3 Seguridad en Drupal 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Cross Site Scripting Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Cross Site Scripting ¿Qu´ es? e Ejecuci´n de c´digo Javascript o o Reflejado o almacenado Ataca al cliente: robo de cookies, descarga de malware. . . ¡La m´s com´n en Drupal! a u Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Cross Site Scripting En Drupal. . . Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Cross Site Scripting Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Cross Site Scripting Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
SQL Injection ¿Qu´ es? e Modificaci´n de consultas a base de datos o B´sico, blind o time based a Ataca al servidor: extrae informaci´n, o la modifica o Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
SQL Injection En Drupal. . . Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Cross Site Request Forgery ¿Qu´ es? e Hacer que usuario pida URL sin que lo sepa Petici´n a un formulario con par´metros GET o a Eliminar nodos, cambiar contrase˜a. . . n Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Cross Site Request Forgery En Drupal. . . Utilizar siempre la Forms API drupal valid token para env´ GET ıos Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Hijacking de sesi´n o ¿Qu´ es? e Robo de cookies para suplantar a un usuario identificado Drupal se encarga de la gesti´n de la sesi´n o o Mejor pr´ctica: utilizar SSL en todo el portal a Certificado v´lido, m´dulo securepages a o Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Bypass de autorizaci´n o ¿Qu´ es? e Usuario accede a URLs o secciones no permitidas En Drupal. . . Controlado mediante el sistema de men´, roles y u permisos Mejor pr´ctica: a M´ ınimo privilegio posible Granularizar permisos tanto como sea necesario Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Referencias inseguras ¿Qu´ es? e Acceder a contenido para el cual no se tiene permiso Permisos definidos, pero ¿se comprueban? Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Referencias inseguras Prevenci´n o Comprobar permisos: user access Comprobar acceso a contenido: node access En consultas SQL: $select→addtag(’node access’); Utilizar la Forms API Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Securizar la configuraci´n o Instalaci´n segura o M´dulo paranoia o M´dulo security review o M´dulo update o M´dulo password policy o Limitar duraci´n de sesi´n o o Permisos “administer . . . ” ¡Ojo con los filtros de entrada! Desactivar y eliminar m´dulo php o Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
´ Indice 1 Introducci´n o 2 Seguridad en profundidad 3 Seguridad en Drupal 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
En resumen. . . Defensa en todas las capas Buenas pr´cticas a Mucha documentaci´n, ¡no hay excusa! o Siempre habr´ fallos de seguridad a Buscar la proporcionalidad La importancia de la formaci´n o Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
En resumen. . . Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
´ Indice 1 Introducci´n o 2 Seguridad en profundidad 3 Seguridad en Drupal 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Referencias Linux Administrator’s Security Guide http://www.seifried.org/lasg Apache Security Tips http://httpd.apache.org/docs/current/misc/security tips.html PHP security manual http://php.net/manual/en/security.php Cracking Drupal http://www.crackingdrupal.com Writing secure code https://drupal.org/writing-secure-code Securing your site https://drupal.org/security/secure-configuration Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
Esto es todo, amigos... ¡Gracias! ¿Preguntas? @RabbitLair ezequielvazq[at]gmail[dot]com Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal

Recomendados

Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Marco Martínez
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Alonso Caballero
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Alonso Caballero
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPzekivazquez
 
Seminario virtual “Ciberseguridad para profesionales online” (#webinarsUNIA)
Seminario virtual “Ciberseguridad para profesionales online” (#webinarsUNIA)Seminario virtual “Ciberseguridad para profesionales online” (#webinarsUNIA)
Seminario virtual “Ciberseguridad para profesionales online” (#webinarsUNIA)Área de Innovación Universidad Internacional de Andalucía
 
Webinar Gratuito: "Reconocimiento Web con Kali Linux 2.0"
Webinar Gratuito: "Reconocimiento Web con Kali Linux 2.0"Webinar Gratuito: "Reconocimiento Web con Kali Linux 2.0"
Webinar Gratuito: "Reconocimiento Web con Kali Linux 2.0"Alonso Caballero
 
Ciberseguridad en la Nube.
Ciberseguridad en la Nube. Ciberseguridad en la Nube.
Ciberseguridad en la Nube. Fernando Tricas García
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Webramos866
 

Recomendados

Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Concientización de Riesgos de Ciberseguridad En Wordpress.
Concientización de Riesgos de Ciberseguridad En Wordpress.Marco Martínez
 
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"
Webinar Gratuito: "Romper Contraseñas con Tablas Arco Iris"Alonso Caballero
 
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"
Webinar Gratuito: "Maquinas Vulnerables para Hacking Web"Alonso Caballero
 
Betabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPBetabeers Sevilla - Hacking web con OWASP
Betabeers Sevilla - Hacking web con OWASPzekivazquez
 
Seminario virtual “Ciberseguridad para profesionales online” (#webinarsUNIA)
Seminario virtual “Ciberseguridad para profesionales online” (#webinarsUNIA)Seminario virtual “Ciberseguridad para profesionales online” (#webinarsUNIA)
Seminario virtual “Ciberseguridad para profesionales online” (#webinarsUNIA)Área de Innovación Universidad Internacional de Andalucía
 
Webinar Gratuito: "Reconocimiento Web con Kali Linux 2.0"
Webinar Gratuito: "Reconocimiento Web con Kali Linux 2.0"Webinar Gratuito: "Reconocimiento Web con Kali Linux 2.0"
Webinar Gratuito: "Reconocimiento Web con Kali Linux 2.0"Alonso Caballero
 
Ciberseguridad en la Nube.
Ciberseguridad en la Nube. Ciberseguridad en la Nube.
Ciberseguridad en la Nube. Fernando Tricas García
 
Seguridad Web
Seguridad WebSeguridad Web
Seguridad Webramos866
 
Webinar Gratuito: Atacar Contraseñas con Kali Linux
Webinar Gratuito: Atacar Contraseñas con Kali LinuxWebinar Gratuito: Atacar Contraseñas con Kali Linux
Webinar Gratuito: Atacar Contraseñas con Kali LinuxAlonso Caballero
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...Área de Innovación Universidad Internacional de Andalucía
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Alejandro Ramos
 
P4 presentacion
P4 presentacionP4 presentacion
P4 presentacionaacastro1
 
Seguridad en la red nivel avanzado
Seguridad en la red nivel avanzadoSeguridad en la red nivel avanzado
Seguridad en la red nivel avanzadoJuan Antonio Ramos
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressRamón Salado Lucena
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetrkdbeto
 
10 consejos de seguridad informática que debes saber
10 consejos de seguridad informática que debes saber10 consejos de seguridad informática que debes saber
10 consejos de seguridad informática que debes saberCesar Gustavo Aguero
 
Semaforo nube
Semaforo nubeSemaforo nube
Semaforo nubeJordi Taboada
 
Grooming hacking
Grooming hackingGrooming hacking
Grooming hackingDanielFernndezPa
 
Seguridad SQL 2012
Seguridad SQL 2012Seguridad SQL 2012
Seguridad SQL 2012Henry Troncoso
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebSucuri
 
Seguridad en las redes sociales
Seguridad en las redes socialesSeguridad en las redes sociales
Seguridad en las redes socialesPaula Caravaggio
 
Seguridad aplicaciones web
Seguridad aplicaciones webSeguridad aplicaciones web
Seguridad aplicaciones webFernando Tricas García
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyJaime Restrepo
 
Webinar Gratuito: "Construir Paquetes con Scapy"
Webinar Gratuito: "Construir Paquetes con Scapy"Webinar Gratuito: "Construir Paquetes con Scapy"
Webinar Gratuito: "Construir Paquetes con Scapy"Alonso Caballero
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetsergiorei
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4Jaime Restrepo
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 
Seguridad para todos
Seguridad para todosSeguridad para todos
Seguridad para todoszekivazquez
 
Drupal Extreme Scaling
Drupal Extreme ScalingDrupal Extreme Scaling
Drupal Extreme Scalingzekivazquez
 

Más contenido relacionado

La actualidad más candente

Webinar Gratuito: Atacar Contraseñas con Kali Linux
Webinar Gratuito: Atacar Contraseñas con Kali LinuxWebinar Gratuito: Atacar Contraseñas con Kali Linux
Webinar Gratuito: Atacar Contraseñas con Kali LinuxAlonso Caballero
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones WebCarlos Fernandez
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Alejandro Ramos
 
P4 presentacion
P4 presentacionP4 presentacion
P4 presentacionaacastro1
 
Seguridad en la red nivel avanzado
Seguridad en la red nivel avanzadoSeguridad en la red nivel avanzado
Seguridad en la red nivel avanzadoJuan Antonio Ramos
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressRamón Salado Lucena
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetrkdbeto
 
10 consejos de seguridad informática que debes saber
10 consejos de seguridad informática que debes saber10 consejos de seguridad informática que debes saber
10 consejos de seguridad informática que debes saberCesar Gustavo Aguero
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebSucuri
 
Seguridad en las redes sociales
Seguridad en las redes socialesSeguridad en las redes sociales
Seguridad en las redes socialesPaula Caravaggio
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyJaime Restrepo
 
Webinar Gratuito: "Construir Paquetes con Scapy"
Webinar Gratuito: "Construir Paquetes con Scapy"Webinar Gratuito: "Construir Paquetes con Scapy"
Webinar Gratuito: "Construir Paquetes con Scapy"Alonso Caballero
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetsergiorei
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4Jaime Restrepo
 
Seguridad web
Seguridad webSeguridad web
Seguridad webcamposer
 

La actualidad más candente (20)

Webinar Gratuito: Atacar Contraseñas con Kali Linux
Webinar Gratuito: Atacar Contraseñas con Kali LinuxWebinar Gratuito: Atacar Contraseñas con Kali Linux
Webinar Gratuito: Atacar Contraseñas con Kali Linux
 
Seguridad en Aplicaciones Web
Seguridad en Aplicaciones WebSeguridad en Aplicaciones Web
Seguridad en Aplicaciones Web
 
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
Seminario virtual “Búsqueda (y verificación) de información en red” (#webinar...
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
 
P4 presentacion
P4 presentacionP4 presentacion
P4 presentacion
 
Seguridad en la red nivel avanzado
Seguridad en la red nivel avanzadoSeguridad en la red nivel avanzado
Seguridad en la red nivel avanzado
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
10 consejos de seguridad informática que debes saber
10 consejos de seguridad informática que debes saber10 consejos de seguridad informática que debes saber
10 consejos de seguridad informática que debes saber
 
Semaforo nube
Semaforo nubeSemaforo nube
Semaforo nube
 
Grooming hacking
Grooming hackingGrooming hacking
Grooming hacking
 
Seguridad SQL 2012
Seguridad SQL 2012Seguridad SQL 2012
Seguridad SQL 2012
 
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio WebWebinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
Webinar: 10 Consejos para Mejorar la Postura de Seguridad de tu Sitio Web
 
Seguridad en las redes sociales
Seguridad en las redes socialesSeguridad en las redes sociales
Seguridad en las redes sociales
 
Seguridad aplicaciones web
Seguridad aplicaciones webSeguridad aplicaciones web
Seguridad aplicaciones web
 
Hackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-EnergyHackeando el mundo exterior a través de Bluetooth Low-Energy
Hackeando el mundo exterior a través de Bluetooth Low-Energy
 
Webinar Gratuito: "Construir Paquetes con Scapy"
Webinar Gratuito: "Construir Paquetes con Scapy"Webinar Gratuito: "Construir Paquetes con Scapy"
Webinar Gratuito: "Construir Paquetes con Scapy"
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
How to build a powerfull open source soc4
How to build a powerfull open source soc4How to build a powerfull open source soc4
How to build a powerfull open source soc4
 
Seguridad web
Seguridad webSeguridad web
Seguridad web
 

Destacado

Seguridad para todos
Seguridad para todosSeguridad para todos
Seguridad para todoszekivazquez
 
Drupal Extreme Scaling
Drupal Extreme ScalingDrupal Extreme Scaling
Drupal Extreme Scalingzekivazquez
 
Taller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCATaller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCAzekivazquez
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupalzekivazquez
 
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme ScalingDrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme Scalingzekivazquez
 
Hack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en DrupalHack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en Drupalzekivazquez
 
Hacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadHacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadzekivazquez
 
Hiring, Training and Supervising Library Shelvers: Part 2
Hiring, Training and Supervising Library Shelvers: Part 2Hiring, Training and Supervising Library Shelvers: Part 2
Hiring, Training and Supervising Library Shelvers: Part 2ALATechSource
 

Destacado (8)

Seguridad para todos
Seguridad para todosSeguridad para todos
Seguridad para todos
 
Drupal Extreme Scaling
Drupal Extreme ScalingDrupal Extreme Scaling
Drupal Extreme Scaling
 
Taller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCATaller Drupal - Jornadas Software Libre UCA
Taller Drupal - Jornadas Software Libre UCA
 
Hacking & Hardening Drupal
Hacking & Hardening DrupalHacking & Hardening Drupal
Hacking & Hardening Drupal
 
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme ScalingDrupalCon Barcelona 2015 - Drupal Extreme Scaling
DrupalCon Barcelona 2015 - Drupal Extreme Scaling
 
Hack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en DrupalHack & Beers - Seguridad en Drupal
Hack & Beers - Seguridad en Drupal
 
Hacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridadHacking Drupal - Anatomía de una auditoría de seguridad
Hacking Drupal - Anatomía de una auditoría de seguridad
 
Hiring, Training and Supervising Library Shelvers: Part 2
Hiring, Training and Supervising Library Shelvers: Part 2Hiring, Training and Supervising Library Shelvers: Part 2
Hiring, Training and Supervising Library Shelvers: Part 2
 

Similar a Desarrollo Seguro en Drupal - DrupalCamp Spain 2013

Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASPzekivazquez
 
Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Alonso Caballero
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Jose Gratereaux
 
Webinar Gratuito: Transferir Archivos a un Sistema Comprometido
Webinar Gratuito: Transferir Archivos a un Sistema ComprometidoWebinar Gratuito: Transferir Archivos a un Sistema Comprometido
Webinar Gratuito: Transferir Archivos a un Sistema ComprometidoAlonso Caballero
 
Webinar Gratuito: Técnicas Antiforenses Básicas
Webinar Gratuito: Técnicas Antiforenses BásicasWebinar Gratuito: Técnicas Antiforenses Básicas
Webinar Gratuito: Técnicas Antiforenses BásicasAlonso Caballero
 
Guía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPressGuía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPresswebempresa.com
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressJuan José Domenech
 
Webinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Webinar Gratuito: Crear un Medio Infectado con Metasploit FrameworkWebinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Webinar Gratuito: Crear un Medio Infectado con Metasploit FrameworkAlonso Caballero
 
6.1 Proteccion y Seguridad
6.1 Proteccion y Seguridad6.1 Proteccion y Seguridad
6.1 Proteccion y SeguridadDavid Narváez
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesNextel S.A.
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesPablo Garaizar
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendicesTensor
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Tensor
 
Curso Virtual de Hacking con Kali Linux
Curso Virtual de Hacking con Kali LinuxCurso Virtual de Hacking con Kali Linux
Curso Virtual de Hacking con Kali LinuxAlonso Caballero
 
Webinar Gratuito: "Wireshark"
Webinar Gratuito: "Wireshark"Webinar Gratuito: "Wireshark"
Webinar Gratuito: "Wireshark"Alonso Caballero
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxAlonso Caballero
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para AprendicesTensor
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasLucy Tomas
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridadguestbfa74a
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoAlonso Caballero
 

Similar a Desarrollo Seguro en Drupal - DrupalCamp Spain 2013 (20)

Hacking web con OWASP
Hacking web con OWASPHacking web con OWASP
Hacking web con OWASP
 
Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"Webinar Gratuito "Ataques a Bases de Datos"
Webinar Gratuito "Ataques a Bases de Datos"
 
Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5Web App Security, Ethical hacking for CodeCamp SDQ 5
Web App Security, Ethical hacking for CodeCamp SDQ 5
 
Webinar Gratuito: Transferir Archivos a un Sistema Comprometido
Webinar Gratuito: Transferir Archivos a un Sistema ComprometidoWebinar Gratuito: Transferir Archivos a un Sistema Comprometido
Webinar Gratuito: Transferir Archivos a un Sistema Comprometido
 
Webinar Gratuito: Técnicas Antiforenses Básicas
Webinar Gratuito: Técnicas Antiforenses BásicasWebinar Gratuito: Técnicas Antiforenses Básicas
Webinar Gratuito: Técnicas Antiforenses Básicas
 
Guía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPressGuía para mejorar la seguridad en WordPress
Guía para mejorar la seguridad en WordPress
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
Webinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Webinar Gratuito: Crear un Medio Infectado con Metasploit FrameworkWebinar Gratuito: Crear un Medio Infectado con Metasploit Framework
Webinar Gratuito: Crear un Medio Infectado con Metasploit Framework
 
6.1 Proteccion y Seguridad
6.1 Proteccion y Seguridad6.1 Proteccion y Seguridad
6.1 Proteccion y Seguridad
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidadesLa Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
 
Inyecciones sql para aprendices
Inyecciones sql para aprendicesInyecciones sql para aprendices
Inyecciones sql para aprendices
 
Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1Inyeccionessqlparaaprendices complemento clase 1
Inyeccionessqlparaaprendices complemento clase 1
 
Curso Virtual de Hacking con Kali Linux
Curso Virtual de Hacking con Kali LinuxCurso Virtual de Hacking con Kali Linux
Curso Virtual de Hacking con Kali Linux
 
Webinar Gratuito: "Wireshark"
Webinar Gratuito: "Wireshark"Webinar Gratuito: "Wireshark"
Webinar Gratuito: "Wireshark"
 
Curso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali LinuxCurso Virtual Hacking con Kali Linux
Curso Virtual Hacking con Kali Linux
 
Inyecciones SQL para Aprendices
Inyecciones SQL para AprendicesInyecciones SQL para Aprendices
Inyecciones SQL para Aprendices
 
Seguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticasSeguridad en WordPress, fundamentos y mejores prácticas
Seguridad en WordPress, fundamentos y mejores prácticas
 
Presentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona SeguridadPresentación Workshop php Barcelona Seguridad
Presentación Workshop php Barcelona Seguridad
 
Curso Virtual de Hacking Ético
Curso Virtual de Hacking ÉticoCurso Virtual de Hacking Ético
Curso Virtual de Hacking Ético
 

Más de zekivazquez

Drupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of VulnerabilitiesDrupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of Vulnerabilitieszekivazquez
 
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadesDrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadeszekivazquez
 
Hacking a sistemas CMS
Hacking a sistemas CMSHacking a sistemas CMS
Hacking a sistemas CMSzekivazquez
 
Security for Human Beings
Security for Human BeingsSecurity for Human Beings
Security for Human Beingszekivazquez
 
Information is Power
Information is PowerInformation is Power
Information is Powerzekivazquez
 
Hackea tu propia Harley
Hackea tu propia HarleyHackea tu propia Harley
Hackea tu propia Harleyzekivazquez
 

Más de zekivazquez (6)

Drupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of VulnerabilitiesDrupal Dev Days 2018 - Autopsy of Vulnerabilities
Drupal Dev Days 2018 - Autopsy of Vulnerabilities
 
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidadesDrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
DrupalCamp Spain 2018: CSI, autopsia de vulnerabilidades
 
Hacking a sistemas CMS
Hacking a sistemas CMSHacking a sistemas CMS
Hacking a sistemas CMS
 
Security for Human Beings
Security for Human BeingsSecurity for Human Beings
Security for Human Beings
 
Information is Power
Information is PowerInformation is Power
Information is Power
 
Hackea tu propia Harley
Hackea tu propia HarleyHackea tu propia Harley
Hackea tu propia Harley
 

Último

El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Luis Olivera
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 

Último (20)

El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
Clase N°4 - Purificación y secuenciación de acidos nucleicos Benoit Diringer ...
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 

Desarrollo Seguro en Drupal - DrupalCamp Spain 2013

  • 1. Desarrollo seguro en Drupal Ezequiel V´zquez De la calle a Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 2. Sobre mi Estudios Ingeniero T´cnico en Inform´tica - UCA e a M´ster en Ingenier´ del Software - US a ıa Experto en Seguridad de las TIC - US Experiencia 3+ a˜os como desarrollador web, casi 2 en Drupal n Actualmente: DevOps Drupal Python, C++, GNU/Linux, network programming. . . Aficiones Rock’n’Roll (guitarra) y videojuegos Narrativa fant´stica, rol, cine. . . a Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 3. ´ Indice 1 Introducci´n o 2 Seguridad en profundidad 3 Seguridad en Drupal 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 4. ´ Indice 1 Introducci´n o 2 Seguridad en profundidad 3 Seguridad en Drupal 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 5. Seguridad ¿Y esto de qu´ va? e Seguridad web Exposici´n a internet o Vulnerabilidades Explotaci´n o ¿Hackers? ... Dinero Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 6. Seguridad Pilares de la seguridad Confidencialidad Integridad Disponibilidad Autenticaci´n o Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 7. Seguridad Principios b´sicos a M´ ınimo privilegio Eslab´n m´s d´bil o a e Proporcionalidad Participaci´n universal o Integraci´n con ciclo de o vida completo Seguridad en profundidad Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 8. ´ Indice 1 Introducci´n o 2 Seguridad en profundidad 3 Seguridad en Drupal 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 9. Seguridad en profundidad Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 10. ¿Por qu´ en profundidad? e El Abismo de Helm era inexpugnable. . . Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 11. Servidor Arquitectura mas com´n para Drupal u Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 12. Servidor Apache Ocultar versi´n: ServerSignature Off o P´ginas de error personalizadas a Limitar m´todos HTTP (s´lo GET, POST y HEAD) e o SSL: Forzar conexi´n cifrada, si est´ disponible o a Ajustar timeout, tama˜o de peticiones, m´ximo de clientes n a simult´neos. . . a Permisos sobre directorios (Allow/Deny, -Indexes, -Multiviews) Mod security, mod chroot ¡Monitorizar los logs! Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 13. Servidor PHP Actualizar → 5.2 ¡deprecated! Limitar funciones: phpinfo, eval, exec, shell exec, system. . . Hijacking : asociar IP y sesi´n o HTTP Only cookies Evitar fugas: expose php=Off Desactivar ejecuci´n remota o Desactivar “magic quotes” (5.2) Controlar tama˜o de POST n Controlar uso de recursos Proteger configuraci´n contra o escritura Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 14. Servidor MySQL Limitar usuario a una base de datos root con contrase˜a segura, no conectar remotamente n No permitir acceso an´nimo o Emplear la mysql secure installation skip-networking o bind=localhost Ejecutar MySQL enjaulado con chroot Activar el registro de logs (¡y revisarlos!) Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 15. ´ Indice 1 Introducci´n o 2 Seguridad en profundidad 3 Seguridad en Drupal 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 16. Cross Site Scripting Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 17. Cross Site Scripting ¿Qu´ es? e Ejecuci´n de c´digo Javascript o o Reflejado o almacenado Ataca al cliente: robo de cookies, descarga de malware. . . ¡La m´s com´n en Drupal! a u Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 18. Cross Site Scripting En Drupal. . . Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 19. Cross Site Scripting Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 20. Cross Site Scripting Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 21. SQL Injection ¿Qu´ es? e Modificaci´n de consultas a base de datos o B´sico, blind o time based a Ataca al servidor: extrae informaci´n, o la modifica o Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 22. SQL Injection En Drupal. . . Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 23. Cross Site Request Forgery ¿Qu´ es? e Hacer que usuario pida URL sin que lo sepa Petici´n a un formulario con par´metros GET o a Eliminar nodos, cambiar contrase˜a. . . n Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 24. Cross Site Request Forgery En Drupal. . . Utilizar siempre la Forms API drupal valid token para env´ GET ıos Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 25. Hijacking de sesi´n o ¿Qu´ es? e Robo de cookies para suplantar a un usuario identificado Drupal se encarga de la gesti´n de la sesi´n o o Mejor pr´ctica: utilizar SSL en todo el portal a Certificado v´lido, m´dulo securepages a o Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 26. Bypass de autorizaci´n o ¿Qu´ es? e Usuario accede a URLs o secciones no permitidas En Drupal. . . Controlado mediante el sistema de men´, roles y u permisos Mejor pr´ctica: a M´ ınimo privilegio posible Granularizar permisos tanto como sea necesario Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 27. Referencias inseguras ¿Qu´ es? e Acceder a contenido para el cual no se tiene permiso Permisos definidos, pero ¿se comprueban? Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 28. Referencias inseguras Prevenci´n o Comprobar permisos: user access Comprobar acceso a contenido: node access En consultas SQL: $select→addtag(’node access’); Utilizar la Forms API Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 29. Securizar la configuraci´n o Instalaci´n segura o M´dulo paranoia o M´dulo security review o M´dulo update o M´dulo password policy o Limitar duraci´n de sesi´n o o Permisos “administer . . . ” ¡Ojo con los filtros de entrada! Desactivar y eliminar m´dulo php o Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 30. ´ Indice 1 Introducci´n o 2 Seguridad en profundidad 3 Seguridad en Drupal 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 31. En resumen. . . Defensa en todas las capas Buenas pr´cticas a Mucha documentaci´n, ¡no hay excusa! o Siempre habr´ fallos de seguridad a Buscar la proporcionalidad La importancia de la formaci´n o Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 32. En resumen. . . Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 33. ´ Indice 1 Introducci´n o 2 Seguridad en profundidad 3 Seguridad en Drupal 4 Conclusiones 5 Referencias Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 34. Referencias Linux Administrator’s Security Guide http://www.seifried.org/lasg Apache Security Tips http://httpd.apache.org/docs/current/misc/security tips.html PHP security manual http://php.net/manual/en/security.php Cracking Drupal http://www.crackingdrupal.com Writing secure code https://drupal.org/writing-secure-code Securing your site https://drupal.org/security/secure-configuration Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal
  • 35. Esto es todo, amigos... ¡Gracias! ¿Preguntas? @RabbitLair ezequielvazq[at]gmail[dot]com Ezequiel V´zquez De la calle a Desarrollo seguro en Drupal