Aurelien Navarre, profile picture
Téléchargé parAurelien Navarre
1,891 vues

Meetup Drupal Lyon - Sécuriser un site drupal

Le document discute des meilleures pratiques pour sécuriser un site Drupal, en soulignant l'importance de retarder les attaques et de protéger les utilisateurs. Il présente différents types d'attaques, des exemples de compromission, ainsi que des recommandations sur les mots de passe, les permissions et l'utilisation de modules de sécurité. Enfin, il évoque des mesures post-piratage et encourage une communication transparente en cas d'incident.

Intégrer la présentation

Téléchargé 22 fois
Sécuriser un site Drupal Meetup Drupal Lyon - 03/07/2014 @AurelienNavarre / @DrupalFacile
En un mot... N'importe quel site semble sécurisé jusqu'au moment où il sera effectivement compromis. Votre mission est de retarder ce moment et de protéger vos clients du mieux que vous le pouvez.
Cela arrive même aux meilleurs. Quelques exemples depuis début 2014...
• Mot de passe • Numéro de téléphone • Adresse e-mail
• 4.6 de comptes piratés • Identifiant utilisateur • Numéro de téléphone
• 200M de comptes piratés • Identifiant utilisateur • Etat civil • Adresse • Téléphone
• Mot de passe • Numéro de téléphone • Adresse e-mail
• Identifiant utilisateur • Mot de passe • Adresse e-mail
• DDoS massives et successives • Interruption complète de service • Demande de rançon !
Quelques types d’attaques... • CSRF: vol de cookie, détournement HTTP • XSS: injection de code dans une page • SQL Injection: requête SQL dans un champ de formulaire non protégé • Access bypass: infos privées accessibles • (Distr.) Denial of Service: faire tomber un site par une attaque coordonnée et ciblée il y en a bien plus !
Comment arrive une attaque ? • SA-CORE / SA-CONTRIB non suivis • Permissions du site trop ouvertes • Mauvaises pratiques (PHP Filter, hacks...) • Attaque ciblée (Brute Force, XSS…) • Identifiants compromis (admin/azerty) • Serveur(s) vulnérable(s) • Sauvegardes non-encryptées et volées ou partagées avec des infos confidentielles
Les plus de Drupal 7 • Meilleur stockage des mots de passe en base de données (SHA512) • Prévention des attaques XSS et SQL • Prévention du “flooding” • Accès restreint à cron.php (clé unique) • Prévention (D)DoS sur les miniatures d’images (tokens) depuis 7.20
API Drupal • check_url: nettoie les tags d’une URL • check_plain*: échap. texte brut vers HTML • check_markup: texte riche vers HTML • filter_xss*: filtre le HTML • Fonctions preprocess* (theming) • Utilisez Form API et Database API (PDO) * supprimé et/ou modifié dans Drupal 8
Quelques modules • Security Review: audit de sécurité • Security Kit: hardening avancé • Password Policy: force l’utilisation de mots de passe complexes (pas suffisant !) • Permissions Lock: permissions renforcées • Username Enumeration Prevention: évite les attaques par dictionnaire • Secure Pages: force une connexion SSL
C’est quoi un bon mot de passe ? http://xkcd.com/936
Tester un mot de passe
Fichiers et dossiers • Fichiers (644) • /default (755) • /default/files (744 ou 755) • /default/themes (755) • /default/modules (755) • /default/settings.php (444) www-data:sitename
Dans un monde idéal • HTTPS, SSH et SFTP en standard • Git pour le contrôle de version • Encryptez les données utilisateurs : modules AES, dbee, Encryption... • 2FA: de plus en plus utilisé et populaire • Stratégie fail-over: HA, active/hot-spare • Protections DDoS, CDN, multi-region • Penetration testing et Load testing
Et Drupal 8 là-dedans ? • Module PHP enfin supprimé du coeur ! • Twig : moteur de template sécurisé par défaut via sa fonction d’autoescaping • CKEditor intégré dans le coeur • Local image filter pour limiter l’utilisation du tag <img> au nom de domaine courant • Protection CSRF par défaut via le composant Routing de Symfony
Si vous savez... • Rester informé (RSS, Twitter…) • Installer et configurer des modules • Suivre les bonnes pratiques Drupal • Limiter le code PHP dans votre thème • Utiliser l’API Drupal et des modules contrib • Suivre le principe KISS Alors vous avez fait 98% du travail !
Et les 2% restants alors ? • Expertise Drupal • Expertise PHP • Expertise système et réseau • Expertise en sécurité • ... ...beaucoup d’expertise pour 2%
Comment gérer un piratage ? • Communiquez rapidement via les réseaux sociaux...et soyez transparent ! • Forcez la réinitialisation des mots de passe • Analysez vos logs système / Drupal • Réparer la faille est le strict minimum. Allez plus loin et devenez un exemple à suivre ! • Module Paranoia...si vous le devenez. ...apprenez de vos erreurs !
Quelques ressources • https://www.drupal.org/writing-secure-code • https://drupal.org/security-team • https://drupal.org/security/secure- configuration • https://github.com/greggles/vulnerable • http://crackingdrupal.com • http://www.ubuntu.com/usn/
Merci. Questions ?

Contenu connexe

PDF
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
parAurelien Navarre
 
PDF
Industrialiser la gestion des fichiers multimedia #dcparis13
parAurelien Navarre
 
PDF
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
parAurelien Navarre
 
PDF
DrupalCamp Nantes 2016 - Migrer un site Drupal 6 ou Drupal 7 vers Drupal 8
parAurelien Navarre
 
PDF
MongoDB day Paris 2012
parFastConnect
 
PDF
Configuration Management avec Drupal 8
parAurelien Navarre
 
PDF
Drupal - La puissance de Drush
parAlexandre Marie
 
PDF
Tout ce que le getting started mongo db ne vous dira pas
parPierre-Alban DEWITTE
 
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
parAurelien Navarre
 
Industrialiser la gestion des fichiers multimedia #dcparis13
parAurelien Navarre
 
Meetup Drupal Lyon mars 2013 - Optimiser les performances Drupal par le cache
parAurelien Navarre
 
DrupalCamp Nantes 2016 - Migrer un site Drupal 6 ou Drupal 7 vers Drupal 8
parAurelien Navarre
 
MongoDB day Paris 2012
parFastConnect
 
Configuration Management avec Drupal 8
parAurelien Navarre
 
Drupal - La puissance de Drush
parAlexandre Marie
 
Tout ce que le getting started mongo db ne vous dira pas
parPierre-Alban DEWITTE
 

Tendances

PPTX
Initiation à Express js
parAbdoulaye Dieng
 
PDF
Chiffrer et sécuriser MariaDB
parChristophe Villeneuve
 
ODP
08 04 mise en place d'un serveur mandataire (proxy)
parNoël
 
PPTX
Automatisez votre gestion de MongoDB avec MMS
parMongoDB
 
PDF
Drupal7 - Bonnes Pratiques (Partie 1)
parAlexandre Marie
 
PPT
201211 drupagora hostingdrupal
parOxalide
 
PDF
Squid squid guard
parFanoela Rajaonarivelo
 
ODP
08 01 mise en place d'un serveur web
parNoël
 
PDF
WordPress Jurassique
parJean-Francois Arseneault
 
PDF
Support Formation vidéo: MongoDB pour débutant
parSmartnSkilled
 
ODP
08 02 mise en place de serveurs virtuels apache 2
parNoël
 
PDF
Sécuriser & chiffrer Mariadb - JDLL 2017
parChristophe Villeneuve
 
ODP
Réu technodejs
parnaholyr
 
PDF
Optimiser wordpress
parJean-François Vial
 
PDF
Optimiser WordPress
parChi Nacim
 
PPTX
Haute Disponibilité et Disaster Recovery
parMicrosoft Technet France
 
PPT
Serveur Web (1)
parSaïd Radhouani
 
PPTX
Scalabilité de MongoDB
parMongoDB
 
PPTX
Usages autour d’Ansible chez ikoula
parNicolas Trauwaen
 
Initiation à Express js
parAbdoulaye Dieng
 
Chiffrer et sécuriser MariaDB
parChristophe Villeneuve
 
08 04 mise en place d'un serveur mandataire (proxy)
parNoël
 
Automatisez votre gestion de MongoDB avec MMS
parMongoDB
 
Drupal7 - Bonnes Pratiques (Partie 1)
parAlexandre Marie
 
201211 drupagora hostingdrupal
parOxalide
 
Squid squid guard
parFanoela Rajaonarivelo
 
08 01 mise en place d'un serveur web
parNoël
 
WordPress Jurassique
parJean-Francois Arseneault
 
Support Formation vidéo: MongoDB pour débutant
parSmartnSkilled
 
08 02 mise en place de serveurs virtuels apache 2
parNoël
 
Sécuriser & chiffrer Mariadb - JDLL 2017
parChristophe Villeneuve
 
Réu technodejs
parnaholyr
 
Optimiser wordpress
parJean-François Vial
 
Optimiser WordPress
parChi Nacim
 
Haute Disponibilité et Disaster Recovery
parMicrosoft Technet France
 
Serveur Web (1)
parSaïd Radhouani
 
Scalabilité de MongoDB
parMongoDB
 
Usages autour d’Ansible chez ikoula
parNicolas Trauwaen
 

Similaire à Meetup Drupal Lyon - Sécuriser un site drupal

PDF
Drupal, les hackers, la sécurité & les (très) grands comptes
parSkilld
 
PDF
Drupal, les hackers, la sécurité & les (très) grands comptes
parJean-Baptiste Guerraz
 
PDF
La sécurité : ange ou démon ?
parChristophe Villeneuve
 
PDF
Comprendre la securite web 2017
parChristophe Villeneuve
 
PDF
Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013
parCertilience
 
PPTX
Securité des applications web
parMarcel TCHOULEGHEU
 
PPTX
Securité web
parEmmanuel Gautier
 
PDF
PSES - La securite pour les développeurs
parChristophe Villeneuve
 
PDF
Hacking Open source et Sécurité, préconisations
parCertilience
 
PDF
Intervention de Cybersécurité en BTS SIO
parMauriceLambert1
 
PDF
La securite pour les développeurs au RMLL 2015
parChristophe Villeneuve
 
PDF
Tuto atelier securisation_site_web
parsahar dridi
 
PDF
Conference drupal-8-drupagora2013
parChipway
 
PDF
Alphorm.com Formation CND 2/2: Réussir la certification
parAlphorm
 
PDF
Prévention et traitement du hack de serveurs
parAmen.fr
 
KEY
Securitedesapplications 091011120426-phpapp02
parAsma Messaoudi
 
PDF
Florian Gahungu - Web application security
parGDG Bujumbura
 
PPTX
Accroître la sécurité de son site internet et de Joomla! plus spécifiquement
parChristophe Avonture
 
PDF
La sécurité et php
parneuros
 
PDF
La sécurité et php
parChristophe Villeneuve
 
Drupal, les hackers, la sécurité & les (très) grands comptes
parSkilld
 
Drupal, les hackers, la sécurité & les (très) grands comptes
parJean-Baptiste Guerraz
 
La sécurité : ange ou démon ?
parChristophe Villeneuve
 
Comprendre la securite web 2017
parChristophe Villeneuve
 
Hacking, Open Source et sécurité Par Certilience, solutions linux, Mai 2013
parCertilience
 
Securité des applications web
parMarcel TCHOULEGHEU
 
Securité web
parEmmanuel Gautier
 
PSES - La securite pour les développeurs
parChristophe Villeneuve
 
Hacking Open source et Sécurité, préconisations
parCertilience
 
Intervention de Cybersécurité en BTS SIO
parMauriceLambert1
 
La securite pour les développeurs au RMLL 2015
parChristophe Villeneuve
 
Tuto atelier securisation_site_web
parsahar dridi
 
Conference drupal-8-drupagora2013
parChipway
 
Alphorm.com Formation CND 2/2: Réussir la certification
parAlphorm
 
Prévention et traitement du hack de serveurs
parAmen.fr
 
Securitedesapplications 091011120426-phpapp02
parAsma Messaoudi
 
Florian Gahungu - Web application security
parGDG Bujumbura
 
Accroître la sécurité de son site internet et de Joomla! plus spécifiquement
parChristophe Avonture
 
La sécurité et php
parneuros
 
La sécurité et php
parChristophe Villeneuve
 

Meetup Drupal Lyon - Sécuriser un site drupal

  • 2.
    Sécuriser un siteDrupal Meetup Drupal Lyon - 03/07/2014 @AurelienNavarre / @DrupalFacile
  • 3.
    En un mot... N'importequel site semble sécurisé jusqu'au moment où il sera effectivement compromis. Votre mission est de retarder ce moment et de protéger vos clients du mieux que vous le pouvez.
  • 4.
    Cela arrive mêmeaux meilleurs. Quelques exemples depuis début 2014...
  • 5.
    • Mot depasse • Numéro de téléphone • Adresse e-mail
  • 6.
    • 4.6 decomptes piratés • Identifiant utilisateur • Numéro de téléphone
  • 7.
    • 200M decomptes piratés • Identifiant utilisateur • Etat civil • Adresse • Téléphone
  • 8.
    • Mot depasse • Numéro de téléphone • Adresse e-mail
  • 9.
    • Identifiant utilisateur •Mot de passe • Adresse e-mail
  • 10.
    • DDoS massiveset successives • Interruption complète de service • Demande de rançon !
  • 11.
    Quelques types d’attaques... •CSRF: vol de cookie, détournement HTTP • XSS: injection de code dans une page • SQL Injection: requête SQL dans un champ de formulaire non protégé • Access bypass: infos privées accessibles • (Distr.) Denial of Service: faire tomber un site par une attaque coordonnée et ciblée il y en a bien plus !
  • 12.
    Comment arrive uneattaque ? • SA-CORE / SA-CONTRIB non suivis • Permissions du site trop ouvertes • Mauvaises pratiques (PHP Filter, hacks...) • Attaque ciblée (Brute Force, XSS…) • Identifiants compromis (admin/azerty) • Serveur(s) vulnérable(s) • Sauvegardes non-encryptées et volées ou partagées avec des infos confidentielles
  • 13.
    Les plus deDrupal 7 • Meilleur stockage des mots de passe en base de données (SHA512) • Prévention des attaques XSS et SQL • Prévention du “flooding” • Accès restreint à cron.php (clé unique) • Prévention (D)DoS sur les miniatures d’images (tokens) depuis 7.20
  • 14.
    API Drupal • check_url:nettoie les tags d’une URL • check_plain*: échap. texte brut vers HTML • check_markup: texte riche vers HTML • filter_xss*: filtre le HTML • Fonctions preprocess* (theming) • Utilisez Form API et Database API (PDO) * supprimé et/ou modifié dans Drupal 8
  • 16.
    Quelques modules • SecurityReview: audit de sécurité • Security Kit: hardening avancé • Password Policy: force l’utilisation de mots de passe complexes (pas suffisant !) • Permissions Lock: permissions renforcées • Username Enumeration Prevention: évite les attaques par dictionnaire • Secure Pages: force une connexion SSL
  • 17.
    C’est quoi unbon mot de passe ? http://xkcd.com/936
  • 18.
    Tester un motde passe
  • 19.
    Fichiers et dossiers •Fichiers (644) • /default (755) • /default/files (744 ou 755) • /default/themes (755) • /default/modules (755) • /default/settings.php (444) www-data:sitename
  • 20.
    Dans un mondeidéal • HTTPS, SSH et SFTP en standard • Git pour le contrôle de version • Encryptez les données utilisateurs : modules AES, dbee, Encryption... • 2FA: de plus en plus utilisé et populaire • Stratégie fail-over: HA, active/hot-spare • Protections DDoS, CDN, multi-region • Penetration testing et Load testing
  • 21.
    Et Drupal 8là-dedans ? • Module PHP enfin supprimé du coeur ! • Twig : moteur de template sécurisé par défaut via sa fonction d’autoescaping • CKEditor intégré dans le coeur • Local image filter pour limiter l’utilisation du tag <img> au nom de domaine courant • Protection CSRF par défaut via le composant Routing de Symfony
  • 22.
    Si vous savez... •Rester informé (RSS, Twitter…) • Installer et configurer des modules • Suivre les bonnes pratiques Drupal • Limiter le code PHP dans votre thème • Utiliser l’API Drupal et des modules contrib • Suivre le principe KISS Alors vous avez fait 98% du travail !
  • 23.
    Et les 2%restants alors ? • Expertise Drupal • Expertise PHP • Expertise système et réseau • Expertise en sécurité • ... ...beaucoup d’expertise pour 2%
  • 24.
    Comment gérer unpiratage ? • Communiquez rapidement via les réseaux sociaux...et soyez transparent ! • Forcez la réinitialisation des mots de passe • Analysez vos logs système / Drupal • Réparer la faille est le strict minimum. Allez plus loin et devenez un exemple à suivre ! • Module Paranoia...si vous le devenez. ...apprenez de vos erreurs !
  • 25.
    Quelques ressources • https://www.drupal.org/writing-secure-code •https://drupal.org/security-team • https://drupal.org/security/secure- configuration • https://github.com/greggles/vulnerable • http://crackingdrupal.com • http://www.ubuntu.com/usn/
  • 26.