Безопасность на TYPO3: как проверить уязвимости?

Считается, что TYPO3 более безопасный, чем другие платформы в открытом доступе.

24/07/2021

 

Согласно статистике Sucuri, количество хакерских атак на TYPO3 составляет 0,4% от общего числа взломов, что делает платформу привлекательнее, чем WordPress, Joomla, Magento, Drupal, OpenCart, vBulletin, ModX, PrestaShop.

Но это не означает, что можно оставить TYPO3 без защиты.

 

Безопасность TYPO3: методология

В 2006 году Эккегарт Гембель и Майкл Хайрдес опубликовали документ, который определял положения безопасности на TYPO3.

TYPO3 пользуется системой основных, незначительных и резервных номеров для решения проблем индивидуальной безопасности.

Так, рассмотрим релиз 4.6.0: основная версия – 4, вспомогательная – 6, резерв безопасности определятся как 0.

Когда службы поддержки и безопасности рассматривают основные и вспомогательные номера 4.6, решаются вопросы и для версий 4.5 и 4.4 (эти опции также обновляются).

Главная проблема, с которой сталкиваются пользователи TYPO3, — отсутствие надлежащей безопасности в расширениях.

 

На данный момент, в репозитории находится больше 5300 расширений, разработанных 2000+ программистами.

Учитывая, что любой пользователь может загрузить расширение в репозиторий, это сказывается на качестве кодов.

Разумеется, некоторые расширения отличаются высоким уровнем качества, но многие созданы любителями.

По сути, большинство проблем в области безопасности в TYPO3 обнаружены именно в этих расширениях, которые не являются частью корневой системы.


Фотография Luca Bravo на Unsplash

 

Чаще всего пользователи TYPO3 сталкиваются со следующими онлайн-преступлениями.

  • Раскрытие информации. Третьи лица взламывают систему и получают доступ к данным, чем впоследствии пользуются для хакерских атак. В зоне риска – структура файловой системы или программного обеспечения, например, опции конфигурации.
  • Кража цифровой личности. Преступники пользуются чужой электронной почтой, паролями, историями заказов или финансовых транзакций, для корыстных целей.
  • SQL инъекция. Хакер загружает видоизмененные коды

SQL в базу данных, чтобы контролировать всю информацию.

Так происходит кража клиентских данных или паролей пользователей.

  • Кодовая инъекция предполагает, что фейковый код становится частью исполняющей системы. Возникают RFI и LFI-атаки из-за неправильной верификации. Хакер получает доступ к настройкам конфигурации, паролям, секретным кодам для шифров.
  • Обход авторизации. Хакер эксплуатирует уязвимости в приложениях, спроектированных с багами, или формах логинов. Хотя сами по себе модули аутентификации в TYPO3 регулярно тестируются, из-за открытой архитектуры платформы в систему можно внедрить альтернативные решения.

В целом, пользователи платформы TYPO3 становятся жертвами атак:

XSS («межсайтовый скриптинг») – следствие отсутствия в приложении фильтров, призванных регулирование подозрительный контент; возникает на вебсайтах, где пользователям предлагают заполнить форму;

XSRF («межсайтовая подделка запроса») – неавторизованные команды отправляются от имени пользователя, которому разработчики сайта доверяют; хакеры отправляют электронные письма людям с вредоносной ссылкой, и когда жертва скачивает приложение, в систему, где зарегистрирован пользователь, посылается поддельный запрос, и хакер преследует свои цели.

 

Как защитить TYPO3?

 

Предлагаем вашему вниманию чек-лист.

Проверяйте способы, которыми уже пользовались ранее, пробуйте новые подходы.

  1. Установите надежный рандомный пароль.
  2. Сделайте резервное копирование.
  3. Загружайте обновления TYPO3 вовремя.
  4. Меняйте локации VPN-серверов, когда работаете на платформе, подключаясь к защищенному Wi-Fi соединению, — оставайтесь вне поля зрения киберпреступников.
  5. Удаляйте устаревшие расширения, в которых обнаружены баги, и загружайте новые.
  6. Защитите архитектуру сервера, разделив информацию по нескольким папкам:

— public – CSS и иллюстрации, доступные публичным пользователям;

— private – приватный корневой текст, расширения конфигураций;

— var – кэш, логи, сессии;

— vendor – система управления содержимым, вендоры расширений.

7. Настройте конфигурацию SSL/HTTPS, и это решение окажется полезным не только с технической точки зрения, но и для SEO-оптимизации.

8. В панели администратора проверьте, кому вы предоставили доступы к файлам и папкам.

9. Запретите внешний доступ к базам данных.

 

Инструменты для защиты безопасности на TYPO3

 

Работая на платформе, рекомендуется проверять, кто имеет доступ к TYPO3.

Джаван Расокат разработал инструмент под названием TYPO3AccessChecker – пакет безопасности на языке программирования Python.

Этот сканер определит, правильно ли защищен ваш вебсайт тестовыми ограничениями и разрешениями в отношении важных точек доступа.

Для тестирования используйте инструмент в комбинации с прокси, OWASP ZAP, Burp, Fiddler и другими программами.

Исключительно системный пакет носит название TYPO3 Security Package.

Это экспериментальная разработка, поэтому по сей день не внедрены все запланированные параметры.

По этой причине программу безопасности рекомендуют использовать для общих целей, но не для продуктовых сайтов.

Проверить код вы сможете при помощи Sonarqube.

Программу легко найти в репозитории приложений, в правом верхнем углу вы найдете ключ расширения.

Благодаря этому, можно проверить качество расширения, всевозможные баги, проблемы с кодом, в том числе дублирование.

5
Оценка TEFIDA.COM

 

Смотрите также:

Как настроить параметры конфиденциальности и безопасности в учетной записи Google

Правила жизни: как обеспечить безопасность в сети в 2021 году

Где расположены данные об учетных записях Skype

Как сгенерировать надёжный пароль: методы великого комбинатора

Актуален вопрос кошелька: как защитить биткоин

Как виртуальная приватная сеть защищает от хакеров

 

Связанные посты