La prevención de exploits en Drupal
https://stackoverflow.com/questions/3960776
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Hay un recurso bueno o lista de revisiones conocidas para hazañas en Drupal (incluyendo módulos comunes) que puede utilizar para cerrar los agujeros en mis sitios?
Estoy usando 6,19 en todos mis sitios, así como asegurarse de que las actualizaciones de seguridad para los módulos se instalan inmediatamente. ¿Hay algo más que pueda hacer de manera realista? (Tales como restringir el acceso a todas las URL "/ admin" a un cierto conjunto de direcciones IP, etc.)
Yo sé acerca de las marcas evidentes, como el filtrado de entrada del usuario en los formularios, etc, pero me pregunto si hay otros escollos que hay que preocuparse por ...
Solución
Sólo toda la seguridad de PHP común. De hecho, sólo la parte superior 10 según lo publicado por OWASP . Sin embargo, Drupal actúa como un marco de aplicación web, un poco aquí también.
- Si a desarrollar sus propios módulos de Drupal, asegúrese de adherirse a escribir código seguro
- Si utiliza módulos sólo aportados, se debe a) asegúrese de suscribirse a la lista de correo de seguridad de Drupal, y b) actualizar el código todo el tiempo, y c) opcionalmente, escaneo manuall de todos los módulos se utiliza con "escribir código seguro ", mencionado anteriormente.
Drupal tiene modelos de seguridad y capas en lugar de todas las cuestiones Top10 OWASP. Acabase A6 (configuración) puede ir mal. Tendrá que entender lo que está haciendo y necesita leer la ayuda en línea en Drupals admin en detalle. Es posible abrir agujeros de seguridad fácilmente cambiando la configuración, sin saber exactamente lo que hacen. Por ejemplo: He visto muchos sitios Drupal que cambian el "formato de entrada" predeterminado a, por ejemplo, HTML, porque piensan que ayuda a los editores, sin darse cuenta de que esto hace que este formato el filtro de todo el contenido, incluyendo los comentarios. La apertura de XSS-publicar por todo el lugar. Drupals ayuda en línea menciona esto, pero la gente a menudo no leo que:)
Otra cosa a realizar, es que Drupal hace por adelantado código no exploración. La gente tiene que leer a través de códigos y reportar problemas de seguridad encontrados, antes de que se tratan. Si ejecuta muchos módulos partido thrid, puede estar casi seguro de al menos uno de ellos tendrá un agujero de seguridad en ellos. Si se quiere evitar que, debe escanear a sí mismo, o bien evitar este tipo de módulos alltogether.
Otros consejos
Drupal mismo está bastante seguro, sin embargo sus módulos no lo son. Lo más probable es que ser cortado modificando su defecto Drupal instalar.
Una vez dicho esto, debe instalar un Web Application Firewall . Asegúrese de que PHP está configurado correctamente con PhpSecInfo y bloqueo hacia abajo MySQL . (Privilegio FILE es lo peor que puede dar privilegio a una aplicación web)
Teniendo en cuenta que utilice núcleo de Drupal y unos mayoría de los módulos populares, es bastante seguro. Sin embargo, es necesario recordar algunas cosas:
- Si utiliza Drupal 6 módulo principal Subir y permitir a los usuarios subir archivos, asegúrese de que elimina "txt" de las extensiones de archivo permitidas. Se puede utilizar para explotar Internet Explorer MIME sniffer de errores, lo que lleva a XSS / HTMLi. Estaba escritura de ello hace algún tiempo.
- Si se preocupan por Clickjacking, puede intentar módulo SafeClick.
- Si utiliza módulo de Vistas, no utilice filtros expuesta (tssss, no debería estar hablando de esto)
- Drupal no es la única cosa para asegurar. Asegúrese de que su servidor web está endurecido.
Aquí es un libro sobre el tema de la seguridad de Drupal:
http://www.amazon.com/Cracking-Drupal-Bucket-Greg -Knaddison / dp / 0470429038
