防止 Drupal 中的漏洞利用

发布于 2024-09-28 03:33:25 字数 208 浏览 8 评论 0 原文

是否有针对 Drupal（包括常见模块）中的漏洞的良好资源或已知修复列表，我可以使用它们来弥补站点中的漏洞？

我在所有站点上使用 6.19，并确保立即安装模块的所有安全更新。还有什么我可以实际做的吗？（例如将对所有“/admin”url 的访问限制为一组特定的 IP 地址等）

我知道一些显而易见的内容，例如过滤表单上的用户输入等，但我想知道是否还有其他陷阱担心...

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

恬淡成诗 2024-10-05 03:33:25

只是所有常见的 PHP 安全性。事实上，只是 OWASP 发布的前 10 名。
然而，Drupal 也充当了一个 Web 应用程序框架。

如果您开发自己的 Drupal 模块，请确保遵守编写安全代码
如果您仅使用贡献的模块，您应该 a) 确保订阅 Drupal 的安全邮件列表，b) 始终升级您的代码，以及 c) （可选）使用上面提到的“编写安全代码”手动扫描所有使用的模块。

Drupal 拥有针对所有 10 大 OWASP 问题的安全模型和层。尽管A6（配置）可能会出错。您需要了解自己在做什么，并且需要详细阅读 Drupals 管理中的在线帮助。您可能会通过更改设置轻松打开安全漏洞，而不知道它们到底做了什么。例如：我见过许多 Drupal 站点将默认的“输入格式”切换为 Full HTML，因为他们认为这对编辑人员有帮助，但没有意识到这使得这种格式成为所有内容（包括评论）的过滤器。到处开放 XSS 发布。 Drupals 在线帮助提到了这一点，但人们通常不会阅读:)

另一件需要意识到的事情是，Drupal 不会预先扫描代码。人们必须阅读代码并报告发现的安全问题，然后才能进行处理。如果您运行许多第三方模块，则几乎可以肯定其中至少有一个模块存在安全漏洞。如果你想避免这种情况，你必须扫描自己，否则就完全避免这样的模块。

回复收藏 0 原文

維他命╮ 2024-10-05 03:33:25

Drupal 本身非常安全，但它的模块却不然。您最有可能因修改默认的 Drupal 安装而遭到黑客攻击。

也就是说，您应该安装Web 应用程序防火墙。确保使用 PHPSecInfo 和锁定 MySQL。（FILE 权限是您可以授予 Web 应用程序的最差权限）

回复收藏 0 原文

不念旧人 2024-10-05 03:33:25

考虑到您使用 Drupal 核心和一些最流行的模块，它是相当安全的。不过，您需要记住一些事情：

如果您使用 Drupal 6 核心模块 Upload 并允许用户上传文件，请确保从允许的文件扩展名中删除“txt”。它可用于利用 Internet Explorer MIME 嗅探器错误，导致 XSS/HTMLi。我不久前写过关于它的内容。
如果您关心点击劫持，您可以尝试 SafeClick 模块。
如果您使用视图模块，请不要使用暴露的过滤器（tssss，我不应该谈论这个）
Drupal 不是唯一需要保护的东西。确保您的网络服务器已得到强化。