防止Drupal中的漏洞利用程序

Question

Drupal中是否有很好的资源或已知的修复漏洞列表（包括常用模块），可以用来关闭我的站点中的漏洞？

我在我的所有站点上都使用了6.19，并且确保立即安装模块的任何安全更新。还有什么我可以切实做到的吗？ （如限制访问所有“/管理”网址到一定的IP地址集等）

我知道显而易见的位，比如过滤用户输入表单等，但我想知道是否有其他我需要担心的陷阱...

Answer 1

只是所有常见的PHP安全性。其实只是top 10 as published by OWASP。 但是，Drupal充当一个Web应用程序框架，在这里也有一点。

• 如果你开发自己的Drupal模块，确保坚持writing secure code
• 如果仅使用贡献的模块，你应该一）确保订阅Drupal的安全邮件列表，以及b）升级您的代码所有的时间，和c）可选地，用上面提到的“编写安全代码”手动扫描所有使用的模块。

Drupal的安全模型和图层适用于所有top10 OWASP问题。 Allthough A6（配置）可能会出错。您需要了解您正在做什么，并需要详细阅读Drupals管理员的在线帮助。您可以通过更改设置轻松打开安全漏洞，而不必知道它们的确做了什么。例如：我看到很多Drupal网站都将默认的“输入格式”切换为完整的HTML，因为他们认为这有助于编辑，而不是意识到这使得这种格式成为所有内容的过滤器，包括评论。开放XSS - 张贴在各地。 Drupals的在线帮助提到了这一点，但人们经常不会读到:)

另一件需要意识到的事情是，Drupal不会扫描代码。人们必须阅读低谷代码，并在处理之前报告发现的安全问题。如果你运行了很多第三方模块，你几乎可以确定其中至少有一个模块会有安全漏洞。如果你想避免这种情况，你必须扫描自己，否则一起避免这些模块。

Answer 2

Drupal的自我是非常安全的，但是它的模块不是。你最有可能通过修改默认的Drupal安装被黑客入侵。

这就是说你应该安装一个Web Application Firewall。确保使用PHPSecInfo和lock down MySQL正确配置了php。 （FILE特权是您可以给Web应用程序的最大特权）

Answer 3

考虑到您使用Drupal核心和几个最受欢迎的模块，它非常安全。但是，你需要记住一些东西：

1. 如果您使用Drupal 6核心模块上传并允许用户上传文件，请确保您从允许的文件扩展名中删除了“txt”。它可以用来利用Internet Explorer MIME嗅探器错误，导致XSS/HTMLi。前段时间，我是writing。
2. 如果你关心点击劫持，你可以试试SafeClick模块。
3. 如果你使用视图模块，不要使用暴露过滤器（tssss，我不应该谈论这个）
4. Drupal是不是一件安全的事情。确保您的Web服务器已经过硬化。

Answer 4

这是一本关于Drupal的安全性的话题：

http://www.amazon.com/Cracking-Drupal-Bucket-Greg-Knaddison/dp/0470429038