14.9 C
Madrid
viernes, junio 2, 2023
spot_img

Desafíos de seguridad de Drupal que enfrentan los desarrolladores | Seguridad de contraste

Drupal es un sistema de administración de contenido web (CMS) totalmente accesible basado en PHP que se ofrece bajo los términos de la Licencia pública general. Al menos el 14 % de los 10 000 sitios web principales en todo el mundo y el 1,2 % de los 10 millones de sitios web principales, que van desde blogs personales hasta sitios empresariales, políticos y gubernamentales, utilizan Drupal como su arquitectura back-end de código abierto.

¿Cómo se usa Drupal en industrias como la banca y el gobierno?

Hoy, la gobernanza se ha vuelto tecnológica. También se está mudando a Drupal debido a su flexibilidad y capacidad para respaldar mejor las misiones nacionales, estatales o locales al mismo tiempo que reduce los costos operativos totales. Los bancos también pueden confiar en la robusta funcionalidad de Drupal CMS para potenciar su presencia en línea. Pueden usar Drupal CMS para digitalizar sus operaciones utilizando la experiencia de los entornos de desarrollo de Drupal.

Los bancos pueden beneficiarse de Drupal para:

  • Entregar el material adecuado por el camino adecuado,
  • Mejorar la experiencia del cliente,
  • Gane y mantenga nuevos clientes.

¿Cómo son Drupal y CMS vulnerables a los ataques?

Más reciente jugo de investigacion El informe dice que los atacantes dedican más tiempo a la detección, y los estafadores de tarjetas de pago son cada vez más frecuentes en los sitios web de Drupal y WordPress. La firma concluyó:

  • Una vulnerabilidad del sitio web estuvo presente en al menos el 60% de los casos cuando se produjo un ataque. El malware PHP se ve a menudo, incluidos piratas informáticos de inicio de sesión, redireccionadores y ladrones de datos bancarios.
  • Insertar un administrador deshonesto para controlar el acceso a sitios web pirateados fue otra forma estándar de causar estragos en la seguridad del sitio web.
  • El contenido fraudulento, a menudo páginas de destino de phishing, estuvo presente en el 7,39% de los sitios web.

CVE en Drupal

Algunos formularios de módulos personalizados o contribuidos pueden ser vulnerables a una validación de entrada incorrecta debido a una vulnerabilidad en la interfaz de programación de aplicaciones (API) del formulario de la base de datos de Drupal. Como resultado, un atacante podría sobrescribir datos o inyectar valores prohibidos. Aunque los formularios afectados son raros, un atacante puede modificar datos confidenciales en determinadas circunstancias.

El módulo de edición rápida no verifica correctamente el acceso a la entidad en situaciones excepcionales. Como resultado, los usuarios con el permiso de «acceder a la edición en el lugar» podrían leer el contenido sin permiso.

Problemas de seguridad que enfrentan los desarrolladores al usar Drupal

Existen varios problemas de seguridad inherentes a Drupal que requieren que cada línea de código sea analizada en función de una gran cantidad de reglas y políticas. Desde 2002, 231 documentado Las vulnerabilidades de Drupal se han descubierto a través de la investigación de CVE. Entre las múltiples vulnerabilidades, las vulnerabilidades de secuencias de comandos entre sitios (XSS) representaron el 29 % de estas fallas, mientras que las fallas de ejecución de código representaron el 11,7 %. El análisis estadístico también reveló soluciones alternativas e inyección SQL como debilidades.

Las vulnerabilidades de ejecución remota de código (RCE) se encuentran entre las vulnerabilidades de seguridad más graves que pueden existir en Drupal. Este tipo de pirateo involucra a un atacante que ejecuta un código malicioso en la computadora que aloja una instalación de Drupal.

Además, las incrustaciones pueden mostrarse en el contexto del dominio principal cuando se usa la ruta de iframe Media Embed, porque la opción de dominio de iframe no se valida correctamente. Esto a veces puede provocar XSS, fugas de cookies u otros problemas.

¿Cómo puede Contrast SCA ayudar a los desarrolladores a abordar estas vulnerabilidades?

Los desarrolladores de Drupal deben tener en cuenta la seguridad, y el análisis de composición de software (SCA) puede ayudar. SCA detalla los CVE que cargó en el módulo, así como los archivos en ese módulo que se utilizan en su sistema en tiempo de ejecución.

SCA de contraste puede ayudar a los integradores y administradores de Drupal a encontrar y corregir vulnerabilidades en su código personalizado, así como en los módulos públicos que integran, lo que permite a las empresas proteger su cadena de suministro de software al exponer los riesgos legítimos introducidos por componentes externos a lo largo del ciclo de vida del desarrollo de software, desde el código hasta la prueba. en producción.

Los desarrolladores pueden asegurar cada línea de código usando Evaluar el contraste para identificar vulnerabilidades a medida que desarrollan su propio código. Con una guía de remediación detallada y un monitoreo continuo, Assess puede ayudar rápidamente a los equipos a eliminar cualquier riesgo que aceche en su código.

Póngase en contacto con uno de nuestros asesores de seguridad y programar una demostración ¡Este Dia!

Omair Dawood, director sénior de marketing de productos, Contrast Security

Omair Dawood, director sénior de marketing de productos, Contrast Security

Suscríbete al blog Contraste

Al suscribirse a nuestro blog, se mantendrá actualizado con las últimas noticias de appsec y las mejores prácticas de DevOps. También se enterará de las últimas noticias sobre productos de Contrast y emocionantes eventos de seguridad de aplicaciones.

Drupal es un sistema de administración de contenido web (CMS) totalmente accesible basado en PHP que se ofrece bajo los términos de la Licencia pública general. Al menos el 14 % de los 10 000 sitios web principales en todo el mundo y el 1,2 % de los 10 millones de sitios web principales, que van desde blogs personales hasta sitios empresariales, políticos y gubernamentales, utilizan Drupal como su arquitectura back-end de código abierto.

¿Cómo se usa Drupal en industrias como la banca y el gobierno?

Hoy, la gobernanza se ha vuelto tecnológica. También se está mudando a Drupal debido a su flexibilidad y capacidad para respaldar mejor las misiones nacionales, estatales o locales al mismo tiempo que reduce los costos operativos totales. Los bancos también pueden confiar en la robusta funcionalidad de Drupal CMS para potenciar su presencia en línea. Pueden usar Drupal CMS para digitalizar sus operaciones utilizando la experiencia de los entornos de desarrollo de Drupal.

Los bancos pueden beneficiarse de Drupal para:

  • Entregar el material adecuado por el camino adecuado,
  • Mejorar la experiencia del cliente,
  • Gane y mantenga nuevos clientes.

¿Cómo son Drupal y CMS vulnerables a los ataques?

Más reciente jugo de investigacion El informe dice que los atacantes dedican más tiempo a la detección, y los estafadores de tarjetas de pago son cada vez más frecuentes en los sitios web de Drupal y WordPress. La firma concluyó:

  • Una vulnerabilidad del sitio web estuvo presente en al menos el 60% de los casos cuando se produjo un ataque. El malware PHP se ve a menudo, incluidos piratas informáticos de inicio de sesión, redireccionadores y ladrones de datos bancarios.
  • Insertar un administrador deshonesto para controlar el acceso a sitios web pirateados fue otra forma estándar de causar estragos en la seguridad del sitio web.
  • El contenido fraudulento, a menudo páginas de destino de phishing, estuvo presente en el 7,39% de los sitios web.

CVE en Drupal

Algunos formularios de módulos personalizados o contribuidos pueden ser vulnerables a una validación de entrada incorrecta debido a una vulnerabilidad en la interfaz de programación de aplicaciones (API) del formulario de la base de datos de Drupal. Como resultado, un atacante podría sobrescribir datos o inyectar valores prohibidos. Aunque los formularios afectados son raros, un atacante puede modificar datos confidenciales en determinadas circunstancias.

El módulo de edición rápida no verifica correctamente el acceso a la entidad en situaciones excepcionales. Como resultado, los usuarios con el permiso de «acceder a la edición en el lugar» podrían leer el contenido sin permiso.

Problemas de seguridad que enfrentan los desarrolladores al usar Drupal

Existen varios problemas de seguridad inherentes a Drupal que requieren que cada línea de código sea analizada en función de una gran cantidad de reglas y políticas. Desde 2002, 231 documentado Las vulnerabilidades de Drupal se han descubierto a través de la investigación de CVE. Entre las múltiples vulnerabilidades, las vulnerabilidades de secuencias de comandos entre sitios (XSS) representaron el 29 % de estas fallas, mientras que las fallas de ejecución de código representaron el 11,7 %. El análisis estadístico también reveló soluciones alternativas e inyección SQL como debilidades.

Las vulnerabilidades de ejecución remota de código (RCE) se encuentran entre las vulnerabilidades de seguridad más graves que pueden existir en Drupal. Este tipo de pirateo involucra a un atacante que ejecuta un código malicioso en la computadora que aloja una instalación de Drupal.

Además, las incrustaciones pueden mostrarse en el contexto del dominio principal cuando se usa la ruta de iframe Media Embed, porque la opción de dominio de iframe no se valida correctamente. Esto a veces puede provocar XSS, fugas de cookies u otros problemas.

¿Cómo puede Contrast SCA ayudar a los desarrolladores a abordar estas vulnerabilidades?

Los desarrolladores de Drupal deben tener en cuenta la seguridad, y el análisis de composición de software (SCA) puede ayudar. SCA detalla los CVE que ha cargado en el módulo, así como los archivos en ese módulo que se utilizan en su sistema en tiempo de ejecución.

SCA de contraste puede ayudar a los integradores y administradores de Drupal a encontrar y corregir vulnerabilidades en su código personalizado, así como en los módulos públicos que integran, lo que permite a las empresas proteger su cadena de suministro de software al exponer los riesgos legítimos introducidos por componentes externos a lo largo del ciclo de vida del desarrollo de software, desde el código hasta la prueba. en producción.

Los desarrolladores pueden asegurar cada línea de código usando Evaluar el contraste para identificar vulnerabilidades a medida que desarrollan su propio código. Con una guía de remediación detallada y un monitoreo continuo, Assess puede ayudar rápidamente a los equipos a eliminar cualquier riesgo que aceche en su código.

Póngase en contacto con uno de nuestros asesores de seguridad y programar una demostración ¡Este Dia!

Artículos relacionados

Dejar respuesta

Please enter your comment!
Please enter your name here

- Anuncio -spot_img

Últimos artículos

3,791SeguidoresSeguir
0suscriptoresSuscribirte
GDPR Cookie Consent with Real Cookie Banner
Index