Geekly articles weekly

50 ظلال من دروبال الأمن

  1. من أجل تجزئة كلمة المرور ، يتم استخدام نسخة معدلة من phpass ، والتي تنبذ منها على الموقع الرسمي. لكنهم ليسوا في عجلة من أمرهم لتغيير الآلية [# 1845004] .
  2. إنهم لا يريدون حتى توفير خيار اختيار آلية التجزئة [# 2939888] .
  3. لم يتم تحديث عدد التكرار لاستمرار التجزئة لأكثر من 7 سنوات [# 1850638] ، على الرغم من أنه من المتوقع أن تزيد التكرارات على الأقل لمدة عامين [# 1203852] .
  4. عند استخدام PostgreSQL ، تتم مقارنة علامات تجزئة كلمة المرور بحالة الأحرف [# 2475539] .
  5. يحتوي PostgreSQL أيضًا على مشكلات دعم طبقة المقابس الآمنة [# 850600] .
  6. الحد الأدنى المسموح به من الإصدار PostgreSQL 9.2 ، والذي كان منذ فترة طويلة دون دعم أمني [# 2846994] .
  7. يحتوي التجميع الرسمي لدروبال على إصدارات قديمة من مكتبات البائعين (بسبب التوافق مع PHP 5.5). البعض منهم ، على سبيل المثال Zend ، لديهم نقاط ضعف معروفة [# 2989631] .
  8. يوجد أيضًا في التجميع جميع الاختبارات ووحدات الاختبار ومواضيع الاختبار ومكتبات البائعين للاختبار ، مما يزيد ليس فقط من حجم الأرشيف ، ولكن أيضًا في مجال الفجوات المحتملة [# 2338671] .
  9. توقفت أيضًا فكرة نقل الملفات القابلة للتنفيذ خارج الموقع [# 1672986] .
  10. يتم تنفيذ التحقق من التحديثات باستخدام طلبات GET باستخدام بروتوكول HTTP غير آمن [# 1538118] . أثناء هجوم MITM ، يمكنك تهدئة أي روابط لأرشيفات الوحدة (لم يتم التحقق من مقادير المجال والتجزئة). يمكنك أيضًا جمع معلومات حول تكوين الموقع وقائمة المطورين ونشاطهم (الطلبات من الإصدارات المحلية للمواقع ستتطابق على ip مع حسابات على d.org). يسمح لك بروتوكول HTTP بوضع برنامج نصي لجمع المعلومات خارج drupal.org.
  11. المستخدم ذي المعرف = 1 هو أكثر الأشياء اللذيذة للهجوم ، لأنه دائمًا ما يتمتع بجميع الأذونات الموجودة على الموقع ولديه أيضًا كل المحاولات لتجريده من هذه الحقوق [# 540008] .
  12. هذا السلوك ليس واضحًا تمامًا ، لأن هذا المستخدم لا يختلف بصريًا في لوحة المشرف عن الآخرين. لكن حتى محاولة تسليط الضوء على هذه الميزة لم تنتهي بأي شيء [# 572240] .
  13. يمكن لأي مسؤول أو مستخدم آخر لديه الحقوق اللازمة السيطرة على هذا المستخدم الإلهي بمعرف = 1 [# 39636] .
  14. تمنح بعض الحقوق ضمنيًا السيطرة على الموقع بالكامل ، لكنها أيضًا لا تبرز بأي شكل من الأشكال [# 2846365] ، [# 594412] .
  15. قد تكون بعض الحقوق مضللة حتى باسمها. على سبيل المثال ، يتيح لك حق عرض السجلات بالفعل حذفها [# 1635646] .
  16. لطالما كانت استعادة الطلب في الأذونات مهمة عاجلة ، لكن يتم تجاهله ببساطة [# 2628870] ، [# 2667018] .
  17. لا يمكن للمسؤول حذف كائن الملف الذي تم تنزيله من قبل مستخدم آخر ، بغض النظر عن مدى ضرره [# 2949017] .
  18. لا يستخدم الخطاف hook_file_download وحدة التحكم المناسبة أثناء التحقق من الصحة [# 2148353] .
  19. لا يعمل التحقق من صحة الملفات الموجودة على جانب العميل [# 2938441] .
  20. فحص ضعيف عند تحميل الملفات التعسفية [# 2543590] ، ناهيك عن كل أنواع أصماغ RarJpeg.
  21. تعتمد بعض عمليات التحقق من الملفات فقط على قاعدة .htaccess [# 2829048] .
  22. .Htaccess به ما يكفي من قواعد الأمان الأخرى التي يتم فقدها ضمنيًا عند التبديل إلى بيئة أخرى (خاصة Nginx) ، ولكن توقف تنفيذ قواعد web.config المشابهة [# 154339] ، [# 2669870] .
  23. افتراضيًا ، في أي موقع يحتوي على Drupal 8 ، يمكنك تحميل الصور مع طلب POST بسيط ، يتكون من اسم نموذج التسجيل وحقل الصورة الرمزية للمستخدم. من الجدير بالذكر أنه في دروبال 7 تم رفض إخراج هذا الحقل افتراضيًا [# 31056] ، لكن تلك الأيام قد انتهت.
  24. عند تحميل ملف يحمل نفس الاسم عدة مرات ، تنشأ مشكلة تتعلق بتنفيذ الخوارزمية لإنشاء أسماء ملفات فريدة [# 2684403] .
  25. تصفية عنوان الصورة هو أيضا عرجاء. لذلك ، يمكنك تسجيل خروج المستخدمين باستخدام صورة باستخدام src = '/ user / logout' [# 144538] ، أو تنفيذ هجوم DOS عن طريق وضع بضع مئات من الصور مع src = 'very / hard / page'.
  26. هناك طريقة أخرى لتناول الموارد وهي تحميل صور 1000 × 1 في الحقول التي تتم معالجتها باستخدام تأثير "القياس والمحصول" [# 2931533] ، [# 872206] .
  27. يمكنك ببساطة ملء قاعدة البيانات بذاكرة التخزين المؤقت للقمامة ببساطة عن طريق فرز عناوين url [# 1245482] ، على الرغم من أن نظام التخزين المؤقت يسلب كل الموارد لتخزين النتائج التي ستكون أسرع حتى من الصفر [# 2888838] .
  28. يمكنك تحميل الموقع وملء سجلات رسائل الخطأ باستخدام طلبات خاصة لروابط السياق [# 2864933] .
  29. الوصول إلى الملفات والصور المرفقة موجود دائمًا ، بغض النظر عن الوصول إلى المحتوى [# 2904842] .
  30. ستظل التعليقات على المحتوى متاحة أيضًا عند رفض الوصول إلى المحتوى [# 1781766] .
  31. يمكنك معرفة ما إذا كان يمكنك استخدام Zaregan على الموقع عن طريق رسالة لاستعادة كلمة المرور [# 1521996] .
  32. نموذج إعادة تعيين كلمة المرور غير محمي من الفيضان [# 1681832] .
  33. عند إنشاء كلمات المرور والتحقق منها ، دون أي تحذير ، يتم حذف جميع أحرف المسافة البيضاء ("\ t \ n \ r \ 0 \ x0B") حول [# 1921576] . قد تكون هذه مفاجأة للمستخدم ، وتخفيفًا قليلاً لخوارزمية البحث.
  34. إذا لم يكن لديك الفرصة للحصول على كلمة مرور تجزئة للقوة الغاشمة ، ولكن هناك جلسة مستخدم ، فيمكنك تهدئة كلمة المرور دون قيود من خلال الحساب نفسه ، على سبيل المثال ، تغيير صندوق البريد [# 2339399] .
  35. بالمناسبة ، إذا كان الأمر كذلك ، فإن المستخدم لا يعرف حتى أنه تم تغيير المربع الخاص به ، لأن محاولة تنفيذ هذه الميزة قد توقفت منذ عدة سنوات [# 85494] .
  36. خوارزمية توليد الجلسة هي أيضًا أيضًا [# 2238561] .
  37. تتدفق ملفات تعريف الارتباط بين المواقع الموجودة في المجلدات الفرعية [# 2515054] .
  38. في بعض الحالات ، يمكنك حظر المستخدمين عن طريق معالجة طلبات إدخال كلمة مرور غير صحيحة [# 2449335] .
  39. يتيح لك الوصول إلى تحرير قوالب Twig الحصول على تحكم غير محدود في الموقع [# 2860607] .
  40. يتم تجاهل هجوم XSS عبر سمات Twig [# 2567743] ، [# 2552837] ، [# 2544110] بعناد .
  41. يمكنك أيضًا تضمين XSS في ملفات المعلومات. على سبيل المثال ، من خلال حقول الوصف أو الحزمة ، والتي قد تكون مثيرة للاهتمام للاستغلال من خلال الميزات [# 846430] .
  42. لا يتم استخدام رأس أمان X-XSS-Protection [# 2868150] .
  43. يمكن أيضًا دفع XSS من خلال طريقة تحويل مسار فئة PlainTextOutput ، على الرغم من أن اسم الفئة يقول العكس [# 2896735] .
  44. قد يكون من المفاجئ أيضًا أن تقوم بعض الطرق بفحص وتخزين ذاكرة الوصول للمستخدم الحالي ، وليس تلك التي تم نقلها إليهم [# 2628870] ، [# 2266809] .
  45. نظرًا لإعدادات ذاكرة التخزين المؤقت غير الصحيحة ، يمكنك أن تجعل من المستحيل على المستخدم عرض ملف التعريف الخاص به [# 2614230] . يمكن إجراء خدعة مماثلة باستخدام إعدادات معينة مع كل من المحتوى [# 2982770] والوسائط [# 2889855] .
  46. يمكن معالجة إحصائيات طرق عرض المواد بسهولة من خلال المعتاد للحلقة في وحدة التحكم في المتصفح ، مما يؤدي إلى تصفية آلاف المشاهدات في الدقيقة حتى إذا لم يكن لديك وصول إلى المادة نفسها. يمكنك الانتهاء حتى من عدم وجود مواد حالية [# 2616330] .
  47. التحقق من عرجاء عناوين المواقع الخارجية [# 2691099] ، [# 2652236] .
  48. لا توجد حماية كاملة من breachattack.com [# 2234243] .
  49. إذا قمت بتكوين "سياسة أمان المحتوى" ، فإن محرر المحتوى يقع [# 2789139] .
  50. هذا هو اختيار الهواة ، وليس ادعاء أي شيء. ربما شخص يعرف الثقوب أسوأ؟ من 01/30/2019 إلى 10/15/2020 ، تعتبر مكافأة من ميزانية الاتحاد الأوروبي تبلغ 89000.00 يورو صالحة. يمكنك محاولة إصلاح شيء ما. ولكن إذا لم ينجح الأمر ، ولا يأس ، فإن مدربين هذا المشروع مدربون على المناورة بمهارة بين المهام من أجل إبقاء دروبال في مكان واحد لسنوات.

Source: https://habr.com/ru/post/ar437820/

More articles:


All Articles