Drupal kaba kuvvet giriş saldırılarına karşı güvenli midir?

9

Kaba kuvvet saldırısı, sürekli olarak bir parola kombinasyonu oluşturarak ve girerek bir web sitesine yetkisiz erişim elde etme girişimidir. Bu görev genellikle başarı veya başarısızlık mesajlarını arayan ve başarı mesajı alana kadar yeni şifreleri denemeye devam eden otomasyon yazılımı ("bot") tarafından yapılır.

Drupal 7 varsayılan olarak ona karşı güvenli midir? bunun için daha güvenli yapılandırma nedir? Hangi modül daha güvenli oturum açma konusunda bana yardımcı olabilir?

security 
Yusef
kaynak
1
Cevap, ne tür bir saldırı hakkında konuştuğunuza bağlıdır. Yani saldırganın "admin" kullanıcısının "Password1" parolasına sahip olduğunu tahmin ettiği ve sonra parolanın "javagod" olduğunu tahmin ettiği bir kaba kuvvet saldırısı mı demek istediniz?
greggles
evet, soru başlığı olarak kaba kuvvet giriş saldırısı :(
Yusef

Yanıtlar:

12

Kodda da görebileceğiniz gibi, user_login_final_validate işlevi bir sel olayını kaydeder. Bu, aynı IP'nin bir kullanıcı / oturum açma şifresini birçok kez bağlamaya çalışması durumunda bir süre "yasaklanacağımız" anlamına gelir.

Bu, Drupal'ın sunduğu korumalardan biridir. Başka bir, ve sanırım web sitenize olur çok hızlı fark edeceksiniz, Drupal her form için oluşturulan CSRF jetonu.

Bu, saldırgan botunun formu oluşturması, ardından jetonu alması ve gönderme formuyla ilişkilendirmesi gerektiği anlamına gelir. Bu çok zaman alıcı ve muhtemelen saldırganın cesaretini kıracaktır. Ama önce sunucunuzun ısınmaya başladığını göreceksiniz.

yvan
kaynak
simülasyon sadece ihtiyaç kopyasını oluşturacak giriş için / form.you, test kopyalamak eğer / yerel testi dosyasında başka drupal sitenin html yapıştırabilirsiniz drupal giriş yapıştırın (formun sadece emin eylem yönlendirme absolutly domain.com/user/ giriş ), yerel olarak çalıştırın geçerli kullanıcı ile doldurun ve oturum açmış gördüğünüz geçmek !!!!!
Yusef
Bu form, veritabanında önbellek (ve form) önbelleğe alındığı sürece Drupal kadar çalışacaktır. Önbelleğin süresi dolduğunda formunuz çalışmaz.
yvan
Önbelleği temizledim ama hala çalışıyorum
Yusef
1
CSRF koruması oturum açma formunda devre dışı bırakılabilir ve devre dışı bırakılabilir. Arama formunda da devre dışı bırakılır. Ancak, yvan'ın belirttiği gibi, sel koruması, formun kendisine kaba kuvvet saldırılarını önler. Bu, bir botnet'e erişimi olan birinden dağıtılmış bir saldırıyı engellemez, ancak aynı kullanıcı için tekrarlanan başarısız girişleri arayan günlük analizi (Droptor gibi bir şey) bunu düzeltir.
greggles
3

Drupal 7'nin giriş denemelerini durdurmak için uyguladığı iyi önlemlere ek olarak, özellikle yeni kullanıcı kayıt girişimleriyle ilgilenen Spambot modülünü yüklemenizi öneririm .

Her yeni kullanıcı kaydında, bu modül, kaydı deneyen kullanıcının bilinen bir bot olup olmadığını görmek için Forum Spam'i Durdur sunucusunu sorgular .

İsteğe bağlı olarak, web sitenizin kayıt girişimleriyle Forum Spam'ini Durdur'a katkıda bulunabilirsiniz.

ermannob
kaynak
3

Orada Taşkın kontrolü

Bu proje, giriş denemesi sınırlayıcıları ve gelecekteki gizli değişkenler gibi Drupal 7'deki gizli sel kontrol değişkenleri için bir yönetim arabirimi eklemeyi amaçlamaktadır.

Çekirdek taşkın kontrol sistemini tanımlayan ve bunlarla etkileşime giren fonksiyonlar

Sel sistemi bize üç işlev sunar:

flood_register_event($name, $window = 3600, $identifier = NULL)

Taşkın kontrol mekanizmasına gelen ziyaretçi için bir etkinlik kaydedin.

flood_clear_event($name, $identifier = NULL)

Taşkın kontrol mekanizmasının mevcut ziyaretçi için bir olayı unutmasını sağlayın.

flood_is_allowed($name, $threshold, $window = 3600, $identifier = NULL)

Kullanıcının belirtilen olayla devam etmesine izin verilip verilmediğini denetler. Temel olarak, flood_is_allowed'i arayarak bir kullanıcının erişiminin olup olmadığını kontrol ederiz. YANLIŞ döndürürse, bir 'Erişim Reddedildi' atın. Bir kullanıcı eylemi gerçekleştirdiğinde flood_register_event adını veririz.

Varsayılan olarak kullanıcının ip adresini kontrol eder. Ancak, kullanıcı kimliği gibi bazı benzersiz tanımlayıcıları iletebiliriz.

Yukarıda Drupal'ın taşkın sistemi ile oynamaktan kopyalandı

niksmac
kaynak
1
Lütfen uygun bir atıf olmadan web'den kopyalayıp yapıştırmayın
Clive
1
@Clive bundan sonra ben ilgileneceğim. Ve bu da iletmek istediğim şey.
niksmac
0

Bu sorunu düşünerek (ve yaşadığım), bu tür saldırıları önlemenizi sağlayan bir modül yazdım: https://drupal.org/project/AntispammerBot

Hangi rollerin güvenli olduğunu, kullanıcının bir spam saldırısı düşünmeden önce kaç düğüm yayınlayabileceğini seçebilirsiniz.

Alejandro Moreno
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.