安全信息
警報
最後更新: 2024-02-19
發現了一個允許用戶獲取聯繫人列表(檢索數據庫中聯繫人的姓氏、名字和 ID)的漏洞。 已經在 18.0.1 及更高版本中修復。
注意:您還可以從 GitHub(https://github.com/Dolibarr/dolibarr/) 下載所有分支/版本的中間版本(尚未發佈的維護包)
安全特性
Dolibarr 實現了多種安全功能,以匹配與安全相關的最佳實踐規則。
以下是您可以找到的主要安全功能列表:
加密
- 數據庫中保存的密碼或安全密鑰數據是加密之後的 [*7] [*8]。
- 數據庫技術密碼可以被偽裝到 Dolibarr configuration file (conf.php) [*8]文件中。
- 可以強制使用 HTTPS [*9]。
//conf/conf.php file
//example of $dolibarr_main_force_https configuration
$dolibarr_main_force_https = '1';//to force https
Values | Description |
---|---|
0 |
無強制重定向 |
1 |
強制重定向到 https,直到 response 中的 SCRIPT_URI 以 https 開頭 |
2 |
強制重定向到 https,直到 response 中的 SERVER[「HTTPS」] = 'on' |
強制重定向到 https 域名 mydomain(推薦方法) |
黑客與駭客
- 可使用 register_globals=on/off(強烈推薦使用off) [*2] 。
- 可使用 PHP safe_mode=on/off (推薦使用on) [*3] 。
- 在生產模式下可禁用任何技術信息泄漏,如調試、錯誤堆棧跟蹤、版本信息(請參閱 configuration file) [*6] 。
- 防止 SQL 注入。受內部 WAF 保護,並通過單元測試檢查數據庫擒縱機制的良好。 [*2] 。
- 防止 XSS 注入(Cross Site Scripting:跨站點腳本)。受內部 WAF 和網頁 headers 保護。 [*1] 。
- 防止 SSRF。
- 防止 CSRF(Cross Site Request Forgery:跨站點請求偽造)。受內部 WAF 和 token 系統保護。 [*5] 。
請注意,還建議通過禁用 Apache 選項來保護您的 Web 伺服器
AcceptPathInfo Off
頁面與文件訪問
- 頁面和內容受集中式入口代碼保護,以檢查權限(授予組或用戶的每個功能模塊) [*4] [*10] 。
- Dolibarr 保存的文件存儲在與 Web 應用不同的 root 目錄中(因此,不通過 Dolibarr wrapper,就無法下載) [*3] [*10] 。 注意:您必須要核實 document 目錄(用於上傳文件)與 htdocs 目錄沒有位於同一目錄中,也不在 htdocs 的子目錄中。您的 Web 虛擬主機必須僅指向 htdocs 目錄(並且此目錄可以/應該處於只讀模式)。因此,如果不使用 wrapper 頁面,則無法下載任何上傳的文件(存儲在 document 目錄中)。
- Dolibarr 目錄內容無法訪問,即使 Apache 的選項 Indexes 沒有被設置為 on(不應該忘記設置) [*3] 。
登錄保護
- 反暴力破解的登錄頁面延遲 [*7] 。目前的延遲值是固定值(在未來版本中,嘗試登錄時可能會呈指數級增長)。
- 登錄頁面上針對機械人的圖形代碼(CAPTCHA)選項 [*7] 。
- 僅限制某些 IP 對後台的訪問 [*7] 。
- 日誌中不記錄密碼,即使在技術日誌中也是如此 [*7] 。
- 內部記錄器(logger)永久保存所有Dolibarr事件,包括有關用戶管理以及成功登錄、失敗登錄或管理事件(用戶、組、權限的變更)。
- 可以在成功登錄或失敗登錄嘗試之後將日誌記錄輸出到日誌文件中(Debug Log模塊必須被啟用,在生產伺服器上最低使用 5-LOG_NOTICE級別,在開發伺服器上使用更高級別),以便您可以添加 fail2ban 規則來鎖定暴力破解。您可以使用以下語法檢查日誌記錄 :
"YYYY-MM-DD HH:MM:SS (ERROR|NOTICE|INFO|DEBUG) IP functions_dolibarr::check_user_password_.* Authentication KO"
要添加到伺服器的 fail2ban 規則列表在後面的 DOS 和暴力破解率緩解(DOS and Brute force rate Mitigation)一章中提供。
病毒
- 可以對每個上傳的文件運行外部防病毒軟件 [*3] 。
安全信息中心
- 從版本 14 開始,您將在菜單 主頁 - 管理工具 - 安全(Home - Admin tools - Security) 中找到一個安全信息中心,其顯示與當前安裝相關的已完成和待完成的所有安全建議。
用於安全性的 CTI
持續集成平台對每次修改代碼運行安全單元測試和靜態代碼分析。
每個版本的footprint
我們的發佈流程為每個版本提供了一個 footprint 文件(也可在線獲取),以驗證本地安裝的所有文件。
注意:Dolibarr 符合 OpenSourceSSF 定義的 Best Practices(最佳實踐) : https://bestpractices.coreinfrastructure.org/projects/5521
DOS 和暴力破解率緩解
該項目提供了一些 fail2ban 規則的示例,以阻止登錄頁面、忘記密碼頁面和任何公共頁面上的暴力嘗試或濫用訪問。參見 https://github.com/Dolibarr/dolibarr/tree/develop/dev/setup/fail2ban
報告安全漏洞
在大多數情況下,安全報告會在幾天內被處理。
(*X) 此解決方案是用於解決 OWASP Top Ten 分類的漏洞(範圍為 X 的)保護的一部分。