Drupal 中的漏洞利用(包括常见模块)是否有很好的资源或已知修复列表,我可以使用它们来关闭我的站点中的漏洞?
我在所有站点上都使用 6.19,并确保立即安装模块的任何安全更新。还有什么我可以实际做的吗?(例如将所有“/admin”网址的访问权限限制为一组特定的 IP 地址等)
我知道明显的位,例如过滤表单上的用户输入等,但我想知道是否还有其他我需要担心的陷阱......
只是所有常见的 PHP 安全性。事实上,这只是OWASP 发布的前 10 名。然而,Drupal 充当了一个 Web 应用程序框架,这里也有一点。
Drupal 为所有 top10 OWASP 问题提供了安全模型和层。尽管 A6(配置)可能会出错。您需要了解自己在做什么,并且需要详细阅读 Drupals 管理中的在线帮助。您可能会通过更改设置轻松打开安全漏洞,而无需知道它们究竟做了什么。例如:我看到许多 Drupal 站点将默认的“输入格式”切换为例如完整的 HTML,因为他们认为这有助于编辑,但没有意识到这使得这种格式成为所有内容的过滤器,包括评论。在各处开放 XSS 发布。Drupals 在线帮助中提到了这一点,但人们通常不会阅读 :)
要意识到的另一件事是,Drupal 不会预先扫描代码。人们必须通读代码,并报告发现的安全问题,然后再进行处理。如果您运行许多第三方模块,您几乎可以肯定其中至少有一个存在安全漏洞。如果你想避免这种情况,你必须扫描自己,否则一起避免这些模块。
Drupal 本身非常安全,但它的模块却不是。修改默认 Drupal 安装最有可能被黑客入侵。
话虽如此,您应该安装一个Web 应用程序防火墙。确保使用PHPSecInfo正确配置 php并锁定 MySQL。(FILE
特权是您可以授予 Web 应用程序的最差特权)
考虑到您使用 Drupal 核心和少数最流行的模块,它非常安全。不过,您需要记住几件事:
这是一本关于 Drupal 安全主题的书:
http://www.amazon.com/Cracking-Drupal-Bucket-Greg-Knaddison/dp/0470429038