Información de seguridad

From Dolibarr ERP CRM Wiki
Jump to navigation Jump to search

Securite.png Alertas

Última actualización: 18-02-2020

Se aumentaron las posibilidades de inyección de XSS menores y se corrigieron en la versión 11.0.4

Descargable en GitHub la última versión 9 y la última versión 10

Art.png Funcionalidades

Dolibarr incorpora los siguientes mecanismos de seguridad:

Encriptación

  • Contraseñas de usuario encriptadas en la base de datos [*7] [*8].
  • Posibilidad de encriptar la contraseña de la base de datos en el Fichero de configuración (conf.php)[*8].
  • Posibilidad de forzar el modo de HTTPS [*9].

Hacks y cracks

  • Soporte del modo register_globals on ó off (muy recomendable modo off) [*2].
  • Soporte del modo safe_mode on ó off de PHP (on recomendado) [*3].
  • Opción de producción para inhibir toda recogida de información técnica como debugeo, info de errores, info de versión (Vea Fichero de configuración) [*6]
  • Sistema de protección anti-injection SQL [2*].
  • Sistema de protección anti injection XSS (Cross Site Scripting)[*1].

Tenga en cuenta que es mejor añadir la protección en la parte del servidor web desactivando la opción Apache

AcceptPathInfo Off
  • Sistema de protección anti-CSRF (Cross Site Request Forgery) [*5].

Acceso a páginas y ficheros

  • Páginas y contenidos protegidos por un sistema de autorizaciones por grupos o usuarios para cada módulo funcional[*4] [*10].
  • Aislamiento de los archivos almacenados en un árbol diferente al de la aplicación web (es decir, no puede descargar sin pasar por el envoltorio Dolibarr) [*3] [*10].
  • Sistema de protección anti scan dir (toda carpeta contiene un fichero index para limitar la visibilidad si el servidor web tiene la opción "Indexes" activada) [*3].

Protección login

  • Retardante contra la fuerza bruta en la página de acceso [*7].
  • Código gráfico opcional anti-robot (CAPTCHA) en la página del login [*7].
  • Ningún rastreo de contraseña en los logs (técnicos o funcionales) [*7].
  • Sistema de auditoría de inicio de sesión permanante Dolibarr, tanto para los inicios de sesión éxitosos o como para los inválidos.

Virus

  • Posibilidad de insertar un control antivirus para los archivos subidos (sólamente linux) [*3].



(*X) Este mecanismo corresponde al número crítico X del ranking Top Ten de OWASP.