Session type: Standard (45 min)
Session level: Intermediate
Session language: Spanish
El pasado 28 de marzo se publicó una actualización de seguridad de Drupal que incluye un parche para una mitigar una vulnerabilidad crítica en todas las versiones. Drupal 8, 7, 6 ¡e incluso 5! han recibido sus parches, de forma que nuestros portales continúen siendo seguros.

El 15 de octubre de 2014 se publicó la versión 7.32 del core de Drupal, que parcheaba una vulnerabilidad crítica de injección SQL que permitía acceder a la base de datos como usuario anónimo.

Este tipo de anuncios son algo muy común, y las mejores prácticas recomiendan encarecidamente estar atentos a los boletines de seguridad de todos los componentes de nuestro proyecto. Cada vez que se publica un parche corremos a aplicarlo para sentirnos "seguros" hasta que la próxima vulnerabilidad es anunciada, pero ¿qué estamos aplicando a nuestro código? ¿Cómo funciona el parche, esta "vacuna" que "previene" que nuestra web sea atacada? Y el ataque, ¿qué clase de ritual de magia negra lleva a cabo el hacker de turno para entrar en nuestro proyecto y curiosear en sus tripas?

En esta sesión exploraremos las vulnerabilidades más sonadas del mundo Drupal y PHP, explicando a nivel técnico cómo funcionan tanto los ataques conocidos, como las contramedidas y parches que las mitigan. La sesión está orientada a personal técnico con cierto dominio de PHP y Drupal, y la idea es que los asistentes comprendan las técnicas de hacking a las que su código se enfrenta cuando se despliega en producción, de forma que puedan evitar potenciales ataques y puedan sentirse más (in)seguros.
Author bio
Mi nombre es Ezequiel "Zequi" Vázquez, y soy desarrollador en Lullabot. Estoy especializado en PHP y Drupal, con un trasfondo sólido en DevOps, interesado en aplicaciones web de alto rendimiento, y apasionado por la seguridad. He sido ponente en cuatro ediciones de DrupalCamp Spain, dos ediciones de DrupalCon Europe y en Drupal Developer Days 2017. Además, soy profesor en dos titulaciones Máster en Seguridad TIC (universidades de Sevilla y Cádiz), y colaboro habitualmente con grupos locales para hablar sobre Drupal y la seguridad web.