5 рисков системы безопасности в Drupal 8 — блог Drudesk
050 640 98 44
support@drudesk.com

5 опасных рисков в системе безопасности Drupal 8

Говорят, что Drupal — это самый безопасный CMF среди тех, которые пользуются спросом сегодня. Он достаточно безопасный для того, чтобы его использовали для создания сайта Белого Дома! А это о чем-то таки говорит.

Но нет ничего идеального и, конечно же, у Drupal’а есть свои уязвимости в системе безопасности, которые могут стать причинами некоторых проблем.

Сегодня мы перечислим пять рисков системы безопасности восьмого Друпала, чтобы убедиться, что вы в курсе всех возможных опасностей и можете их избежать.

Недостатки в системе безопасности Drupal 8

Cross Site Scripting (XSS)

XSS — это типичная уязвимость системы безопасности, которая обычно возникает в веб-приложениях. Она позволяет злоумышленникам вводить клиентские скрипты в веб-страницы. Эта система работает следующим образом:как только пользователь заходит на страницу, куда “прикрепили” такой вредоносный код, этот код сразу же атакует его компьютер.

Вот почему важно помнить — вам следует предоставлять доступ к HTML коду вашего сайта лишь доверенным пользователям.

К счастью, теперь в Друпал 8 есть шаблонизатор Twig, который анализирует все переменные по умолчанию, но все же, нужно помнить, что такой риск существует.

SQL инъекция

SQL инъекция — это распространенный способ взлома во время которого вредоносный код вводится в запрос (query). С помощью этой техники хакеры могут получить полный доступ к системным данным, уничтожить их, или, просто-напросто, поставить себя в позицию администратора. Как защитить свой сайт от взлома детальнее узнавайте здесь.

Именно поэтому никогда не нужно использовать опасные данные в запросах к базе данных, предварительно не сделав escape. Эта функция седьмого Друпала в восьмой версии является устаревшей, но, тем не менее, все еще доступной. Ее используют для того, чтобы убедиться, что унаследованный код работает как нужно. Для других же целей прибегать к ней не стоит. Тем более, что в Друпал 8 уже используется обьектно-ориентированный метод создания запросов.

Межсайтовая подделка запросов (Cross Site Request Forgery (CSRF))

Межсайтовая подделка запросов — это тот тип атаки, который играет на уязвимостях HTTP. Обычно все происходит примерно так: когда юзер заходит на созданный злоумышленником сайт, от имени этого пользователя на совершенно другой сервер поступает запрос на исполнение какого-то действия (например, перевести деньги на счет хакера).

Если же мы говорим о Drupal, то этим действием может оказаться удаление определенного контента на сайте. Конечно, в таких случаях, появляется форма подтверждения (“Вы уверены, что хотите удалить..?”) и таким образом атака блокируется. Это показывает всю важность таких форм для каждой важной операции на сайте. И, опять же, становится понятно, что доступ к HTML нужно предоставлять только избранным.

Аутентификация и сеансы

Еще несколько вещей, о которых стоит помнить: слабые хранилища паролей и менеджмент аккаунтов, перехват сеансов/фиксации сеансов, а также нехватка лимита времени сеанса. Конечно, факт существования этих вещей еще не значит, что у Друпала нет способа их избежать. Например, Drupal 8 хранит все пароли и данные сеансов пользователей в хешированном состоянии, что означает минимальный шанс на их перехват.

Избирательность в обновлении

И, конечно же, еще одна вещь, которую нельзя упустить: единственный способ защитить ваш сайт и личные данные — это периодически обновлять модули и архитектуру Друпала. Служба безопасности Drupal постоянно исправляет разные баги и недочеты, которые могут быть опасными для вашей страницы. Поэтому, кажется, вполне логично обновлять все, что нужно, и быть уверенными, что ваш сайт вооружен и защищен :) Больше о рисках такой избирательности к апдейтам Друпала читайте тут.

Вывод

Теперь вы знаете большинство рисков в системе безопасности Drupal 8. Не пугайтесь — предупрежден значит вооружен. А Друпал делает все возможное и невозможное, чтобы защитить сайты своих пользователей. Поэтому не сомневайтесь в том стоит ли ему довериться, он не подведет!

Похожие материалы