Při aktualizaci Drupalu jsem narazil na problém v jedné z bezpečnostních kontrol nad HAProxy. Měl jsem tam jedno velké pravidlo, které blokovalo jakékoliv volání PHP souborů ve /core, /vendor, /misc, /includes, /libraries a sites/*/files. Myšlenka byla správná. Nic z toho se přes HTTP volat nemá. Jenže Drupal při aktualizaci používá vlastní interní entrypointy (např. /core/authorize.php), a ty se tak přes update formulář venku zkrátka volají z prohlížeče.

Minulá týden jsem spustil nový web postavený na Drupalu, který slouží pro testování funkčnosti WEDOS Global Protection šablony WAF pravidel pro Drupal. Úplně čerstvý web, zatím bez jakékoliv indexace ve vyhledávačích, bez backlinků, bez návštěvníků. Přesně takové prostředí, kde můžu v klidu sledovat každý request. Což doufám, že se ale brzy změní.

Nasadil jsem základní Generic šablonu WAF šablonu z WEDOS Global Protection. Ta fungovala překvapivě dobře. V porovnání s WordPress, který má svá "speficika" a vyžaduje ohnout pravidla.

Během analýzy provozu jsme identifikovali několik typů útoků, které se zaměřují na citlivé části Drupal instalací. Útočníci se typicky pokoušejí nahrát nebo spouštět škodlivé soubory v adresářích, které k tomu vůbec nejsou určeny.

Do ochranné vrstvy jsme proto doplnili pravidla, která tyto pokusy automaticky zastaví ještě předtím, než se dostanou na webserver.