¿Es Drupal seguro?

Enviado por Daniel Muñoz Egido el Mié, 08/03/2017 - 19:19
don't panic drupal

Quizá nos enfrentamos a una de las preguntas que todos nos hemos planteado alguna vez cuando nos hemos utilizado un sistema de gestión de contenido open source (o no). Podemos responder que Drupal es lo suficientemente seguro para confiar en él, y seguramente, uno de los que más se preocupa por esta cuestión.

Quizá una de las vulnerabilidades más frecuentes sea aquella denominada Cross-site-scripting (XSS) que permite a una tercera persona inyectar en páginas web visitadas por un usuario código, normalmente JavaScript, o incluso aprovechar esta vulnerabilidad para conseguir permisos de administrador dentro de un determinado sitio.

 

Funcionamiento de un ataque XSS. Fuente: https://www.codejobs.biz/es/blog/2014/11/07/hablemos-de-seguridad-informatica-que-es-xss-y-como-evitarlo

Gráfico fuente: https://www.codejobs.biz/es/blog/2014/11/07/hablemos-de-seguridad-informatica-que-es-xss-y-como-evitarlo

Desde MD Systems, Janez Urevc ha hecho la prueba para ver cómo de vulnerable es Drupal a este tipo de ataques. Para ello ha creado un contenido en cuyo título a insertado un script por el cual, a la hora de visualizar dicha página nuestro navegador nos debería mostrar un mensaje de haber sidos hackeados.

intección script en una página web

Una vez guardado el contenido, el navegador debería haber procesado el código sin mostrarlo en pantalla, pero en vez de eso, el contenido es mostrado por Drupal tal cual, sin permitir que el navegador ejecute el código malicioso. De esta manera aseguramos nuestro sitio y desenmascaramos al hacker.

respuesta drupal a un ataque XSS

Por lo tanto, como la seguridad completa no existe, si podemos concluir que Drupal es lo suficientemente segura.

Añadir nuevo comentario

Este campo sólo es para verificar que usted es una persona. No será almacenado ni utilizado con ningún otro propósito

HTML Restringido

  • Etiquetas HTML permitidas: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Saltos automáticos de líneas y de párrafos.
  • Las direcciones de correos electrónicos y páginas web se convierten en enlaces automáticamente.

Documentación Hoy le informa que los datos facilitados por usted en este formulario serán tratados informáticamente por Documentación Hoy con el objetivo de publicar su comentario a este contenido. Para poder llevar a cabo esta acción necesitamos su consentimiento explícito. Los datos proporcionados se conservarán mientras no solicite el cese de la actividad. Los datos no se cederán a terceros salvo en los casos en que exista una obligación legal. En cualquier momento usted puede ejercitar su derecho a acceder, rectificar, limitar o borrar sus datos enviándonos un e-mail a info@documentacionhoy.com. Usted puede encontrar más información en nuestra Política de Privacidad.

CAPTCHA
Esta pregunta es para comprobar si usted es un visitante humano y prevenir envíos de spam automatizado.