Drupal中是否有很好的资源或已知的修复漏洞列表(包括常用模块),可以用来关闭我的站点中的漏洞?防止Drupal中的漏洞利用程序
我在我的所有站点上都使用了6.19,并且确保立即安装模块的任何安全更新。还有什么我可以切实做到的吗? (如限制访问所有“/管理”网址到一定的IP地址集等)
我知道显而易见的位,比如过滤用户输入表单等,但我想知道是否有其他我需要担心的陷阱...
Drupal中是否有很好的资源或已知的修复漏洞列表(包括常用模块),可以用来关闭我的站点中的漏洞?防止Drupal中的漏洞利用程序
我在我的所有站点上都使用了6.19,并且确保立即安装模块的任何安全更新。还有什么我可以切实做到的吗? (如限制访问所有“/管理”网址到一定的IP地址集等)
我知道显而易见的位,比如过滤用户输入表单等,但我想知道是否有其他我需要担心的陷阱...
只是所有常见的PHP安全性。其实只是top 10 as published by OWASP。 但是,Drupal充当一个Web应用程序框架,在这里也有一点。
Drupal的安全模型和图层适用于所有top10 OWASP问题。 Allthough A6(配置)可能会出错。您需要了解您正在做什么,并需要详细阅读Drupals管理员的在线帮助。您可以通过更改设置轻松打开安全漏洞,而不必知道它们的确做了什么。例如:我看到很多Drupal网站都将默认的“输入格式”切换为完整的HTML,因为他们认为这有助于编辑,而不是意识到这使得这种格式成为所有内容的过滤器,包括评论。开放XSS - 张贴在各地。 Drupals的在线帮助提到了这一点,但人们经常不会读到:)
另一件需要意识到的事情是,Drupal不会扫描代码。人们必须阅读低谷代码,并在处理之前报告发现的安全问题。如果你运行了很多第三方模块,你几乎可以确定其中至少有一个模块会有安全漏洞。如果你想避免这种情况,你必须扫描自己,否则一起避免这些模块。
Drupal的自我是非常安全的,但是它的模块不是。你最有可能通过修改默认的Drupal安装被黑客入侵。
这就是说你应该安装一个Web Application Firewall。确保使用PHPSecInfo和lock down MySQL正确配置了php。 (FILE
特权是您可以给Web应用程序的最大特权)
考虑到您使用Drupal核心和几个最受欢迎的模块,它非常安全。但是,你需要记住一些东西:
这是一本关于Drupal的安全性的话题:
http://www.amazon.com/Cracking-Drupal-Bucket-Greg-Knaddison/dp/0470429038
这应该是服务器故障。 – rook 2010-10-18 16:04:24