Jakub Woźniak

W pierwszej części serii poświęconej audytom bezpieczeństwa w Drupalu opisaliśmy, jak robić przegląd modułów i bibliotek. Jednak moduły oraz zależności na nic się nie przydadzą, jeśli dowolny użytkownik będzie mógł zobaczyć nasz niestandardowy routing na którym wyświetlamy wszystkie informacje o klientach. Dlatego w tym artykule przyjrzymy się konfiguracji naszego serwisu. Poprawna konfiguracja jest jednym z kluczowych elementów wpływających na bezpieczeństwo.

Audyt bezpieczeństwa to proces prowadzący do zidentyfikowania zagrożeń bezpieczeństwa, które mogą prowadzić do nieautoryzowanego dostępu do treści, wycieków danych, obejścia zabezpieczeń oraz innych niebezpieczeństw. W pierwszej części z serii dotyczącej przeprowadzenia audytu bezpieczeństwa skupimy się na przeglądzie wersji modułów Drupala, których używamy w Droptica do tego celu oraz bibliotek PHP i JavaScript.

Kod pisany według standardów pozwala na przyspieszenie tworzenia projektu. Jest łatwiej rozszerzalny i czytelniejszy, dzięki czemu nowe osoby w projekcie mogą się szybciej wdrożyć i dostarczać optymalne rozwiązania. Społeczność PHP stale dąży do poprawy jakości kodu. Na przestrzeni lat powstały narzędzia wspomagające w pisaniu kodu zgodnego ze standardami. W tym tekście przedstawię jedno z nich: PHP_CodeSniffer.

Security Kit to moduł, dzięki któremu niwelujesz prawdopodobieństwo wykorzystania luk w zabezpieczeniach strony internetowej. Wraz z funkcjonalnościami m.in. takimi jak: Anti-XSS, Anti-CSRF, Anti-ClickJacking możesz kompleksowo zapewnić sobie spokój oraz określić politykę bezpieczeństwa dla swojej witryny.

Podczas pracy nad projektem istnieje wiele sposobów na podniesienie bezpieczeństwa strony. Jednym z nich jest wykorzystanie zautomatyzowanych testów bezpieczeństwa, które wspomagają programistów w wyeliminowaniu jak największej liczby błędów bezpieczeństwa. Chciałbym w tym tekście przybliżyć Ci działanie jednego z narzędzi pozwalających podnieść bezpieczeństwo Twojej strony internetowej - modułu Security Review.

Podczas audytu strony internetowej istnieje możliwość wykrycia, czy wprowadzono zmiany w rdzeniu Drupala, modułach oraz skórkach contrib. W jaki sposób to zrobić? Najbardziej efektywne jest wykorzystanie możliwości modułu Hacked!