Bogotá 2022 Sprint Notes Released: Desarrollo de plugin de evaluación de configuración de servidores (permisos de carpetas)

August 24th, 2022 by  | Comments Off on Bogotá 2022 Sprint Notes Released: Desarrollo de plugin de evaluación de configuración de servidores (permisos de carpetas)

English message follows

Spanish

Hemos notado que se suele prestar poca atención a temas de seguridad, ya que se centra la atención en otros aspectos de las plataformas PKP, como el propio proceso editorial o el diseño. Esto suele provocar que las medidas de seguridad que se llegan a implementar solo sean correctivas, es decir, después de que la plataforma es atacada y/o ya fue vulnerada.

Se enlistaron los diferentes tipos de ataques indicando la vulnerabilidad que se aprovecha en cada caso y la(s) contramedida(s). Este documento quedó como un borrador que puede ser consultado en este enlace

Se comenzó un borrador de traducción a español de la documentación oficial sobre seguridad con la intención de ampliarla o mejorarla.

Se creó la estructura de archivos necesarios para que funcione un plugin que detecta si en el servidor donde está instalado OJS está habilitada una configuración de PHP que expone la versión de este y con esto hace vulnerable al servidor. A continuación, se muestra un ejemplo del plugin en funcionamiento:

El código fuente del plugin puede consultarse desde https://github.com/ovilla7/ojs-security y fue desarrollado y probado con OJS versión 3.3.0-11 LTS.

Consulta los resultados completos en el sitio del Sprint Bogotá 2022

English

We have noticed that little attention is often paid to security issues, as teams are usually focused on other aspects of PKP platforms, such as the editorial process itself or design. This usually means that the security measures implemented are only corrective, that is after the platform is attacked and/or has already been compromised.

The group listed different types of attacks, indicating the vulnerability exploited in each case and the countermeasure(s). This document remained as a draft that can be consulted at this link.

A draft Spanish translation of the official security documentation was started with the intention of expanding or improving it.

The necessary file structure was created for a plugin to detect if  PHP configuration is enabled on the server where OJS is installed, exposing its version and thereby making the server vulnerable. Here is an example of the plugin:

The plugin source code can be found at https://github.com/ovilla7/ojs-security and was developed and tested with OJS version 3.3.0-11 LTS.

Check the complete results at the Sprint Bogotá 2022 website (available in Spanish)

Tags: , , , ,

Comments are closed.