2

Drupal 中的漏洞利用(包括常见模块)是否有很好的资源或已知修复列表,我可以使用它们来关闭我的站点中的漏洞?

我在所有站点上都使用 6.19,并确保立即安装模块的任何安全更新。还有什么我可以实际做的吗?(例如将所有“/admin”网址的访问权限限制为一组特定的 IP 地址等)

我知道明显的位,例如过滤表单上的用户输入等,但我想知道是否还有其他我需要担心的陷阱......

4

4 回答 4

4

只是所有常见的 PHP 安全性。事实上,这只是OWASP 发布的前 10 名。然而,Drupal 充当了一个 Web 应用程序框架,这里也有一点。

  • 如果您开发自己的 Drupal 模块,请务必遵守编写安全代码
  • 如果你只使用贡献的模块,你应该 a) 确保订阅 Drupal 的安全邮件列表,b) 一直升级你的代码,c) 可选地,手动扫描所有使用的模块,使用“编写安全代码”,提到多于。

Drupal 为所有 top10 OWASP 问题提供了安全模型和层。尽管 A6(配置)可能会出错。您需要了解自己在做什么,并且需要详细阅读 Drupals 管理中的在线帮助。您可能会通过更改设置轻松打开安全漏洞,而无需知道它们究竟做了什么。例如:我看到许多 Drupal 站点将默认的“输入格式”切换为例如完整的 HTML,因为他们认为这有助于编辑,但没有意识到这使得这种格式成为所有内容的过滤器,包括评论。在各处开放 XSS 发布。Drupals 在线帮助中提到了这一点,但人们通常不会阅读 :)

要意识到的另一件事是,Drupal 不会预先扫描代码。人们必须通读代码,并报告发现的安全问题,然后再进行处理。如果您运行许多第三方模块,您几乎可以肯定其中至少有一个存在安全漏洞。如果你想避免这种情况,你必须扫描自己,否则一起避免这些模块。

于 2010-10-18T16:00:39.507 回答
1

Drupal 本身非常安全,但它的模块却不是。修改默认 Drupal 安装最有可能被黑客入侵。

话虽如此,您应该安装一个Web 应用程序防火墙确保使用PHPSecInfo正确配置 php并锁定 MySQL。(FILE特权是您可以授予 Web 应用程序的最差特权)

于 2010-10-18T16:01:54.713 回答
1

考虑到您使用 Drupal 核心和少数最流行的模块,它非常安全。不过,您需要记住几件事:

  1. 如果您使用 Drupal 6 核心模块上传并允许用户上传文件,请确保从允许的文件扩展名中删除“txt”。它可用于利用 Internet Explorer MIME 嗅探器漏洞,导致 XSS/HTMLi。前段时间我正在写它。
  2. 如果你关心 Clickjacking,你可以试试 SafeClick 模块。
  3. 如果您使用 Views 模块,请不要使用 Exposed Filters(tssss,我不应该谈论这个)
  4. Drupal 不是唯一需要保护的东西。确保您的 Web 服务器已加固。
于 2010-10-18T17:34:11.177 回答
1

这是一本关于 Drupal 安全主题的书:

http://www.amazon.com/Cracking-Drupal-Bucket-Greg-Knaddison/dp/0470429038

于 2010-10-18T17:58:02.483 回答