5 ризиків системи безпеки в Drupal 8 — блог Drudesk
050 640 98 44
support@drudesk.com

5 критичних ризиків в системі безпеки Drupal 8

Кажуть, що Drupal — це найбезпечніший CMF серед найвідоміших у сьогоденні. Він достатньо безпечний для того, щоб бути використаним для побудови сайту Білого Дому! А це про щось та й говорить.

Але немає нічого ідеального і, звісно, й у Drupal’у є свої вразливості в системі безпеки, які можуть спричинити проблеми.

Сьогодні ми перечислимо п’ять ризиків системи безпеки восьмого Друпалу, щоб пересвідчитись, що ви в курсі усіх можливих небезпек і можете їх уникнути.

Недоліки в системі безпеки Drupal 8

Cross Site Scripting (XSS)

XSS це типова вразливість системи безпеки, яка зазвичай виникає у веб-додатках. Вона дозволяє зловмисникам вводити клієнтські скрипти у веб-сторінки. Ця система працює таким чином: як тільки користувач заходить на сторінку, куди “прикріпили” такий шкідливий код, цей код відразу атакує його комп’ютер.

Ось чому важливо пам’ятати — вам слід надавати доступи до HTML коду вашого сайту лише довіреним користувачам. 
На щастя, тепер в Друпал 8 є шаблонізатор Twig, який аналізує всі змінні за замовчуванням, але потрібно, все ж, пам’ятати, що такий ризик як XSS дійсно існує.

SQL ін'єкція

SQL ін'єкція — це поширений спосіб злому у якому зловмисний SQL код вводиться у запит (query). За допомогою цієї техніки хакери мають змогу отримати повний доступ до системних даних, знищити їх, або, просто-напросто, поставити себе в позицію адміністратора. Як захистити свій сайт від злому детальніше дізнавайтесь тут.

Саме тому ніколи не потрібно використовувати небезпечні дані в запитах до бази даних попередньо не зробивши escape. Ця функція сьомого Друпалу у восьмій версії є застарілою, однак, все ще доступною. Її залишили, щоб впевнитись, що успадкований код працює як потрібно. Для інших цілей використовувати її не варто. Тим більше, у Друпал 8 вже використовується об’єктно-орієнтований метод створення запитів.

Міжсайтова підробка запитів (Cross Site Request Forgery (CSRF))

Міжсайтова підробка запитів — це той тип атаки, який наживається на вразливостях HTTP. Зазвичай все відбувається таким чином: коли юзер заходить на створений зловмисником сайт, на зовсім інший сервер таємно надходить запит на виконання якоїсь шкідливої дії від імені цього користувача (наприклад, перевести гроші на рахунок злочинця).

Беручи до уваги саме Drupal, то цієї дією може стати видалення певного контенту на сайті. Звісно, в таких випадках, з’являється форма підтвердження (“Ви впевнені, що бажаєте видалити…?”) і таким чином проведення атаки блокується. Це показує важливість таких форм при кожній важливій операції на сайті. І, звісно, знову ж таки, стає зрозуміло що доступ до HTML потрібно надавати лише обраним.

Автентифікація та сеанси

Ще декілька речей, про які слід пам’ятати: слабкі сховища паролів та менеджмент аккаунтів, перехоплення сенсів/фіксації сеансів, а також нестача ліміту часу сеансу. Звісно, факт існування цих речей не означає, що у Друпалу немає способу їм запобігти. Наприклад, Drupal 8 зберігає всі паролі та дані сенсів користувачів у хешованому стані, що означає мінімальний шанс на їх перехоплення.

Уникання оновлень

І звісно ж, ще одна річ, яку необхідно взяти до уваги: єдиний спосіб захистити ваш сайт та особисті дані — це періодично оновлювати модулі та архітектуру Друпалу. Служба безпеки Drupal постійно виправляє різноманітні баги та недоліки, котрі можуть бути небезпечними для вашої сторінки. Тому, здається, цілком логічно оновлювати все, що потрібно, і бути певними, що ваш сайт озброєний та захищений :) Більше про ризики уникання апдейтів Друпалу читайте тут.

Висновки

Тепер вам відомі більшість з ризиків в системі безпеки Drupal 8. Не лякайтеся — попереджений значить озброєний. Друпал робить усе можливе і неможливе, щоб захистити сайти своїх користувачів. Тому не сумнівайтесь у тому чи варто йому довіритись, він не підведе!