Tutorial Avanzati - Uso del Protector - Xoops Italia


left Login right
Nome utente:

Password:


Hai perso la password?
Registrati ora!
left Ricerca right
left Community right
left Collaborare right
left Supporto right
left Access Key right
  • ALT+1 Home
  • ALT+2 News
  • ALT+3 Forum
  • ALT+4 Downloads
  • ALT+5 Contattaci
  • ALT+6 Faq
[Maiusc+Alt] con FFox 2 [Alt+Invio] con IExplorer
left Statistiche right
Utenti registrati:
Oggi: 0
Ieri: 1
Totali: 5666
Ultimo: ddt85
Utenti online:
Ospiti : 6
Membri : 0
Totali: 6
Lista utenti [Popup]

Tutorial Avanzati :: Sicurezza

Uso del Protector

Inviato da: Defkon1 Data: 28/3/2006 12:32 Visualizzazioni: 2137 Voto: 10.00/2

Uso del Protector
Autore:Defkon1
Sommario:Creare un buon portale è complesso, ma mai quanto proteggerlo.
Vediamo come possiamo farci aiutare da quest'ottimo modulo, analizzando una per una le possibili tecniche d'attacco e le relative reazioni.
Intestazioni
  1. 1. Funzionalità del Protector
Profilo autore: Defkon1
Ingegnere informatico da anni impegnato nella comunità opensource.

Al momento è Webmaster del portale XoopsItalia.

Una delle risorse più importanti nel vasto mondo dei moduli per Xoops, è sicuramente il modulo Protector, sviluppato e mantenuto da Mineaki Gotoh, alias GIJOE.

Questo modulo nasce dall'ampliamento dell'ormai antiquato AntiDos-P, che forniva protezione contro gli attacchi di tipo Denial of Service, ed offre copertura pressoché completa verso minacce generiche e minacce specifiche contro Xoops.


Al momento in cui scrivo questo documento, la versione stabile più aggiornata del Protector è la 2.55, scaricabile da www.peak.ne.jp/xoops, disponibile sia in zip, sia in tgz. All'interno del pack troverete già la traduzione in italiano scritta dal sottoscritto.


1. Funzionalità del Protector

Il modulo intercetta e reagisce ai seguenti tipi di attacchi:


Denial of Service (DoS)

In cosa consiste

Un attacco DoS punta a saturare le capacità di connessione di un server

Come viene portato

Una tipologia classica di attacco DoS consiste nel continuo caricamento di porzioni del portale, costringendo il server ad un lavoro continuativo per soddisfare le richieste

Come reagisce il modulo

Il Protector è in grado di valutare con che frequenza viene richiesto l'aggiornamento delle stesse pagine del portale, tramite tempo e numero di reload.

Una volta riconosciuto l'attacco come DoS può reagire fornendo all'IP attaccante:
- una pagina contenente solo il blocco di login

- nulla, come se il portale fosse scomparso

- una pagina vuota (schermata bianca)

oppure può direttamente inserire l'IP nell'elenco degli esclusi (ban dell'IP)

Inoltre nelle recenti versioni del modulo è possibile negare l'accesso al portale tramite utilizzo del file .htaccess, ma questa funzionalità è ancora a livello sperimentale.

Alcuni moduli, come ad esempio i moduli chat, hanno però bisogno di essere aggiornati frequentemente dai browser degli utenti, per seguire il continuo flusso informativo che viene modificato. Per evitare che gli utenti che utilizzano tali moduli vengano tacciati come attaccanti è possibile indicare quali moduli escludere dal controllo anti-DoS.


Bad Crawlers

In cosa consiste

Un Crawler è un motore di indicizzazione e di collezione di informazioni (ad esempio e-mail postate in un forum a scopo spam)

Come viene portato

Un Crawler diventa “maleducato” (bad crawler) quando accede troppo frequentemente al portale

Come reagisce il modulo

Il Protector applica ai crawler gli stessi criteri visti per i DoS. Quando appura che il crawler è maleducato può reagire con:

- una pagina contenente solo il blocco di login

- nulla, come se il portale fosse scomparso

- una pagina vuota (schermata bianca)

- ban dell'IP

- blocco da .htaccess (sperimentale)

E' comunque possibile specificare tramite regex quali bot e crawler non considerare mai come maleducati (google, yahoo,...).

SQL Injection

In cosa consiste

L'agente attaccante tenta di operare query sul database iniettandole via browser

Come viene portato

Approfittando magari di codice scritto in modo poco attento, oppure sfruttando vere e proprie vulnerabilità di moduli sensibili.

Come reagisce il modulo

Un portale database-driven come Xoops deve prestare molta attenzione agli attacchi di questo tipo, pena la possibile ed irrimediabile corruzione della base di dati. Proprio per questa particolare necessità di sicurezza, il Protector è in grado di bloccare tre diversi tipi di attacco SQL injection:

- rilevazione di commento isolato

- rilevazione di sintassi UNION

- specificazione di campi chiave non interi

Le prime due tipologie, se utilizzate a dovere, potrebbero permettere all'attaccante di “agganciare” proprie query a quelle normalmente utilizzate dal portale. Il Protector può reagire nei seguenti modi:

- fornire una pagina con il solo blocco login

- sterilizzazione

- fornire pagina vuota

- ban dell'IP


Il terzo tipo di attacco può essere bloccato chiedendo al Protector di forzare il trattamento di ogni campo chiave (*id) delle query SQL come campi integer. Questa funzione può però creare problemi con alcuni moduli.

XSS (Cross Site Scripting)

In cosa consiste

Un attacco Cross Site Scripting (abbreviato XSS, per non essere confuso in CSS – Cascade Styling Sheets) è simile per natura agli attacchi SQL injection, puntando ad iniettare script arbitrari.

Come viene portato

Gli attacchi XSS possono essere portati nei modi più disparati e sfruttando le vulnerabilità di vari linguaggi (HTML, JavaScript, Flash,...). Nella maggior parte dei casi sono comunque gli stessi sviluppatori che offrono il fianco agli attacchi non progettando correttamente le loro applicazioni.

Come reagisce il modulo

Essendo un tipo di attacco estremamente vario e difficile da bloccare, l'unica vera difesa è utilizzare moduli testati, stabili e sicuri, sviluppati da team di riconosciuta affidabilità e serietà.

Il Protector infatti, pur essendo un modulo particolarmente potente, è in grado di interecettare solo una minima parte di questi attacchi, mediante il trattamente dei campi chiave come interi (vedi attacchi SQL Injection).

Contaminazione delle Variabili Globali

In cosa consiste

Consiste nell'ottenimento di particolari risultati (corruzione dei dati, ottenimento di privilegi da amministratore,...) mediante la corruzione dei dati contenuti nelle variabili globali.

Come viene portato

Modificando lato utente il contenuto delle proprietà degli oggetti e delle variabili globali.

Come reagisce il modulo

Il modulo può reagire con:

- pagina contenente il solo login

- pagina vuota

- ban dell'IP

Hi-Jacking della sessione

In cosa consiste

Consiste nell'utilizzo delle vostre credenziali specificate nella vostra sessione utente da parte di un agente attaccante.

Come viene portato

Attraverso il dirottamento della sessione utente su un altro IP

Come reagisce il modulo

Il modulo impedisce il dirottamento proteggendo i bit dell'IP registrato nella sessione utente. E' possibile inoltre indicare quali gruppi non sono autorizzati a spostare il proprio IP in una sessione.

Caratteri nulli (Null-Bytes)

In cosa consiste

Il carattere di terminazione “\0” viene utilizzato spesso in diversi tipi di attacchi.

Come viene portato

Iniettando a dovere un carattere nullo è possibile avere diversi risultati, come la terminazione di una funzione o processo, o addirittura può permettere l'esecuzione di codice arbitrario non controllato.

Come reagisce il modulo

Il modulo può sterilizzare un carattere nullo sostituendolo con uno spazio.

Attraversamento delle directory (Directory Traversal)

In cosa consiste

Noto anche come “Scalata delle directory”, consiste nell'accedere a file e directory non protetti.

Come viene portato

Sfruttando una cattiva progettazione/programmazione l'attaccante riesce a risalire l'albero delle directory fino ad accedere a contenuti che avrebbero dovuto essere protetti (cartelle eseguibili, cache,...)

Come reagisce il modulo

Il modulo reagisce eliminando i path di risalita (“../”) nelle richieste che sembrano specificare file ben precisi.

CSRF (Cross Site Request Forgeries)

In cosa consiste

Consiste nell'invio di richieste HTTP arbitrarie

Come viene portato

L'attaccante invia HTTP request arbitrarie con le credenziali di un ignaro utente, rendendo molto complessa l'identificazione dell'attacco.

Come reagisce il modulo

Il modulo chiude le falle che permettevano alcuni attacchi CSRF in Xoops 2.0.9.2.

Forza Bruta

In cosa consiste

Consiste nell'individuazione della password di un utente mediante tentativi continui.

Come viene portato

L'agente attaccante con uno script ad hoc genera tutte le possibili password alfanumeriche e le inserisce nel form di login, fino ad individuare quella corretta.

Come reagisce il modulo

Il modulo stabilisce una numero massimo di tentativi di login effettuabili nell'arco di dieci minuti. Superata tale soglia l'IP viene espulso.

Invio di file eseguibili o camuffati (== IE Content-Type XSS)

In cosa consiste

Consiste nell'esecuzione di script arbitrari contenuti in file inviati dall'attaccante.

Come viene portato

L'agente attaccante invia file contenenti script in moduli con funzionalità di upload al fine di poterli eseguire.

Come reagisce il modulo

L'invio di file pericolosi (ad esempio eseguibili o con estensione .php) comporta la chiusura del portale.

XMLRPC

In cosa consiste

Consiste nell'esecuzione di script arbitrari sfruttando alcune vulnerabilità strutturali del protocollo XMLRPC.

Come viene portato

Alcune funzioni XMLRPC (come la eval()) si prestano ad attacchi basati sull'iniezione ed esecuzione di codice arbitrario non controllabile.

Come reagisce il modulo

Il Protector può disabilitare l'utilizzo di tali funzioni.

Pagine: (1) 2 »
<< Trasferire XOOPS Installazione del Protector 3.x+ >>
API: Strumenti PM Email PDF Siti Preferiti Stampa | RSS | RDF | ATOM
© 2002-2008 | Xoops Italia
I commenti sono proprietà dei rispettivi autori. Non siamo in alcun modo responsabili del loro contenuto.
Autore Albero
urban
Inviato: 5/4/2006 14:49  Aggiornato: 5/4/2006 14:49
Maestro
Iscritto: 18/8/2004
Da: Torino
Inviati: 985
 Re: Uso del Protector
Ciao
ho provato ad installare il protector e a fare le modifiche al mainfile.php

con le modifiche apportate il sito si blocca e restituisce una pagina bianca con una stringa di errore.

il file htaccess non lo trovo!

ho la versione 2.0.13.2 installata

Come posso risolvere?

Grazie
Francesco
Defkon1
Inviato: 14/4/2006 14:10  Aggiornato: 14/4/2006 14:10
Webmaster
Iscritto: 24/8/2004
Da: Ancona
Inviati: 4752
 Re: Uso del Protector
il debug php che errore ti dà?
mystich
Inviato: 30/4/2006 17:46  Aggiornato: 30/4/2006 17:46
Niubbo
Iscritto: 22/4/2006
Da:
Inviati: 76
 Re: Uso del Protector
In effetti anch'io ko avuto dei problemi di configurazione, nonostante il tutorial sia molto chiaro. Neanch'io trovo il file .htaccess ma soprattutto la cosa strana è che nonostante abbia fatto tutte le altre modifiche segnalate dal tutorial, il sistema mi avvisa come se non le avessi mai fatte! Qualcuno sa spiegarmi come fare? Grazie 1000 !
piper
Inviato: 30/4/2006 18:01  Aggiornato: 30/4/2006 18:01
Niubbo
Iscritto: 16/4/2006
Da:
Inviati: 133
 Re: Uso del Protector
Mancano le immagine nella pagina 2
feed
Inviato: 7/5/2006 0:41  Aggiornato: 7/5/2006 0:41
Niubbo
Iscritto: 25/4/2005
Da: Ticino Svizzera
Inviati: 21
 Re: Uso del Protector
Ciao raga.... per il file .htacces, molto probabilmene é perche sono dei file nascosti, dovreste provare a configurare il vostro FTP client in modo tale da poter visualizzare i file nascosti.
plokko
Inviato: 19/10/2006 9:31  Aggiornato: 19/10/2006 9:31
Simpatizzante
Iscritto: 25/6/2006
Da: a casa mia
Inviati: 72
 Re: Uso del Protector
...ricordo anche che se dovete modificare il mainfile,se l'avete settato in mod 444 NON RIUSCIRETE A MODIFICARLO!

è una cosa stupida ma se nn ci fate caso ci starete delle ore!

Mettetelo in mod 666 , modificatelo e rimettetelo in mod 444!
vampire85
Inviato: 2/11/2007 12:35  Aggiornato: 2/11/2007 12:35
Simpatizzante
Iscritto: 3/3/2005
Da:
Inviati: 41
 Re: Uso del Protector
Scusate ma cosa è la XOOPS_TRUST_PATH?
cola967
Inviato: 24/11/2007 13:47  Aggiornato: 3/3/2008 11:13
Specialista
Iscritto: 23/5/2007
Da: roma
Inviati: 313
 Re: Uso del Protector
cito paro paro un post di slyss: xoops_trust_path è un nuovo sistema introdotto da GIJOE e porta il vantaggio di poter nominare la cartella del nostro modulo nel modo che più ci pare e piace
ciao marco
redzone
Inviato: 3/3/2008 13:27  Aggiornato: 3/3/2008 20:23
Niubbo
Iscritto: 8/1/2007
Da:
Inviati: 9
 Re: Uso del Protector
Salve a tutti!
Anche io ho qualche problemino con l'installazione del protector!

Ho scaricato e installato l'ultima versione del protector stabile, cioè quella disponibile nel download di xoopitalia. L'installazione è andata a buon fine e fino a qui tutto bene!
Ho avuto qualche problema con il mainfile.php, però visto l'errore che mi dava il debug, ho capito che c'era un'errore nella guida.

Infatti sostituendo nelle due righe da inserire, "XOOPS_ROOT_PATH" con "XOOPS_TRUST_PATH", si risolve il problema!

Sono ancora in difficoltà con il file .htaccess. Ho provato diverse soluzioni trovate tra le discussioni ma ancora non riesco a settare php_flag register_globals off e allow_url_fopen off
Ho letto che forse può dipendere dal server, ma non credo sia il mio caso visto che il mio server è su Aruba e da quello che ho letto sembra che non ci siano problemi.

Mi chiedevo se è possibile vedere un file .hccess funzionante di qualcuno di voi, nel caso ci fossero dei problemi di sintassi.

Un'ultima cosa...

...no trovo da nessuna parte la possibilità di inserire la password di recupero! Qualche errore da parte mia?

Sto realizzando il mio primo portale con xoops e mi trovo benissimo, però da buon webmaster finchè non finisco con la sicurezza non posso andare avanti!

Ringrazio anticipatamente tutti per il supporto fornito, sempre attento e puntuale!!

RedZone
redzone
Inviato: 3/3/2008 20:20  Aggiornato: 3/3/2008 20:20
Niubbo
Iscritto: 8/1/2007
Da:
Inviati: 9
 Re: Uso del Protector
Un'aggiornamento...

ho contattato Aruba per saperne di più sul .htacces e php_flag register_globals off e allow_url_fopen off e la risposta è stata questa:

In particolare, il cambio di settaggio da ON a OFF per il register_globals, in un ambiente con le nostre impostazioni, non influisce sulla sicurezza del server.
Inoltre, col parametro settato a OFF, molti script non funzionerebbero.
Quindi non solo non ne avrebbe un effettivo vantaggio in sicurezza, ma anzi ridurrebbe la funzionalità dei suoi file PHP.


Cordiali saluti.


Cosa ne pensate?

Grazie!

RedZone
Defkon1
Inviato: 3/3/2008 22:17  Aggiornato: 3/3/2008 22:17
Webmaster
Iscritto: 24/8/2004
Da: Ancona
Inviati: 4752
 Re: Uso del Protector
ATTENZIONE

questa guida è per le versioni 2.x del Protector, ovvero quelle PRECEDENTI all'inserimento dello XOOPS_TRUST_PATH. Per le versioni più recenti (3.x) fare riferimento alle miniguide allegate alle news e alle molte discussioni nel forum.
Defkon1
Inviato: 3/3/2008 22:24  Aggiornato: 3/3/2008 22:26
Webmaster
Iscritto: 24/8/2004
Da: Ancona
Inviati: 4752
 Re: Uso del Protector
Citazione:

RedZone ha scritto:

Un'aggiornamento...

ho contattato Aruba per saperne di più sul .htacces e php_flag register_globals off e allow_url_fopen off e la risposta è stata questa:

In particolare, il cambio di settaggio da ON a OFF per il register_globals, in un ambiente con le nostre impostazioni, non influisce sulla sicurezza del server.
Inoltre, col parametro settato a OFF, molti script non funzionerebbero.
Quindi non solo non ne avrebbe un effettivo vantaggio in sicurezza, ma anzi ridurrebbe la funzionalità dei suoi file PHP.


Cordiali saluti.


Cosa ne pensate?


purtroppo molti script e web application non sono ancora in grado di lavorare con le direttive register_globals=off (anche se molto diffusi).

molti hosting provider fanno una scelta commerciale molto semplice: mettere le register_globals a off sui loro server chiuderebbe le porte a chi usa tali script, e quindi venderebbero meno spazi hosting... e questo nonostante tutti i più grandi sviluppatori PHP e specialisti in security assicurino che è un'impostazione estremamente importante per la sicurezza degli applicativi.

a chi si trova nella tua situazione posso solo consigliare di guardarsi un po' intorno prima di rinnovare o aprire nuovi hosting sui server di coloro che preferiscono pensare alle vendite piuttosto che alla sicurezza dei vostri dati...
timgno
Inviato: 4/3/2008 11:03  Aggiornato: 4/3/2008 11:03
Maestro
Iscritto: 16/5/2007
Da: Cosenza
Inviati: 830
 Re: Uso del Protector
frugando in rete ho trovato un piccolo codice da inserire in htaccess, è fattibile? 

    RewriteEngine On

    # Uncomment following line if your webserver's URL
    # is not directly related to physival file paths.
    # Update YourM**boDirectory (just / for root)

    # RewriteBase /YourM**boDirectory

    #
    # Rules
    #

    RewriteRule ^content(.*) index.php
    RewriteRule ^component/(.*) index.php

    php_flag register_globals off
    Order allow,deny
    Allow from all


    If you are not using SEF URLs just create a .htaccess file with the below code and put it in your main m**bo directory

    php_flag register_globals off
    Order allow,deny
    Allow from all


lo avevo provato ma non rilevavo niente di cambiato dal modulo xoopsinfo


© 2002-2008 | XOOPS ITALIA
Xoops Italia Logo
Powered by Xoops 2.0.13.2 WAI Level-A Conformance Valid XHTML 1.0 Transitional Valid CSS astonstreet Xoops Themes XHtml Logo RSS 2.0