给出一个网站是Drupal的迹象?

时间:2009-10-04 14:51:12

标签: drupal

我试图以这样的方式改变我的网站,以便当人们查看它时,他们不知道它是由Drupal驱动的。所以,想知道是否有任何迹象表明我应该知道这件事?

我所知道的一些赠品是:

  1. 添加内容时,会显示“node / add”。
  2. 如果存在以下文件:misc / favicon.ico
  3. 我正在寻找类似的东西?

12 个答案:

答案 0 :(得分:38)

让我们看一下基于Drupal的相当自定义的页面:http://gemini-lights.com/(来自Drupal sites repository的随机页面)。 有很多赠品:

  • 如果您将www.example.com/link/link2更改为www.example.com/?q=link/link2且仍然可以使用并指向正确的页面
  • www.example.com/user/1为您提供了个人资料页
  • 资源(imgs,css等)位于/sites/all|example.com/themes/或类似的
  • 有一些CSS类应用于网站的许多关键元素(如body),它们不会改变外观 - Drupal使用它们来提供有关页面状态的一些信息(如<body class="front not-logged-in page-front-page two-sidebars">
  • 可能还有很多其他人

我的建议是:不要试图隐藏你的网站的CMS,如果黑客想知道你正在运行的CMS,他/她会发现。我会专注于让CMS保持最新状态(Drupal使这很简单)并且还要注意你正在安装哪些模块 - 他们是最可能的攻击媒介。


由于这个问题仍有很多热门话题,让我用一个大公司(波兰最大的电话公司之一)的网站示例来更新它,令我(令人愉快的)惊喜的是,正在使用Drupal它的主要网站http://dialog.pl/

  • 像/ user / 1,/ login等常用的赠品页面重定向到主页面,这样你就可以看到网站的创作者已完成作业;)
  • ...但页面的来源包含我最喜欢的赠品:zen主题的使用:/sites/all/themes/zen-dialog-main-page/../zen/css/page-strona_glowna.php等网址或已应用的CSS样式:<body class="front not-logged-in node-type-page two-sidebars">
  • 另一个赠品是update.php页面,其中包含熟悉的Garland主题(此Kevin的道具)。

正如您所看到的,仍然可以告诉该网站正在使用Drupal - 这是一家大公司的网站。所以上面的建议仍然存在:不要浪费你的资源试图隐藏你使用的CMS,保持最新(这就是update.php文件可能仍然存在的原因),监控安全漏洞,使用强密码,等。

答案 1 :(得分:18)

你在浪费时间:

不安全不是一种安全形式。试图隐藏Drupal可能只会诱使黑客殴打你。

如果存在安全漏洞,您几乎肯定会错过它,黑客只需要尝试特定的攻击媒介。他或她不会检查是否是Drupal。您的攻击可能来自无关的软件。

您为隐藏Drupal所做的更改实际上可能会使您的网站安全性降低。特别是如果您更改核心并且无法再判断您的网站是否是最新的。

您花在隐藏Drupal上的努力很可能会被应用于经过验证的有效安全策略并获得更好的结果。

答案 2 :(得分:5)

  • 登录页面为/ user或/ user / login
  • 管理员页面为/ admin或?q = admin
  • / node显示最新节点的列表
  • / node / n其中n是数字,显示具有该数字的节点(例如/ node / 1显示有史以来创建的第一个节点)
  • 视图来源中对象类中的“节点”或“视图”一词。
  • 在分页的内容中,第2页实际上在URL中显示为页面/ 1或/ 1(Drupal分页URL就像那样令人讨厌)。
像其他人所说的那样,不要过于担心这一点。这是浪费时间。只需保持Drupal核心和所有模块的最新版本(您甚至可以将其设置为在安装的模块发布安全版本时通过电子邮件发送给您),您不必担心任何事情。

答案 3 :(得分:4)

快速查明网站是否为Drupal网站。

  • 浏览源代码并搜索或Drupal.settings(使用Google Analytics模块在所有网站上显示)
  • 如果Drupalsite会显示当前版本,请访问www.example.com/CHANGELOG.txt。

还有很多其他方法可以表明某个站点是否是Drupal站点,但上述内容很快且确定。

其他迹象将是。

  • 标记:
    • &lt; div id =“node-2020 ...(div与id node- [number])
    • &lt; div class =“views- ...(divs with a class of views- [something]
    • class =“clear-block”(clear-block是clear-fix CSS技巧的drupal实现)
  • 的url:
    • 节点
    • 节点/ [数字]
    • 节点/添加
    • admin - &gt;给403
    • admin / build / modules - &gt;给403
  • HTTP Expires标头设置为Dries'(Drupal的创建者)生日

答案 4 :(得分:4)

greggles(Drupal安全团队负责人)写了一篇关于隐藏网站运行Drupal的事实:Hiding the fact your site runs Drupal OR fingerprinting a Drupal site

允许知道网站何时使用Drupal的一些事情可以改变,但在某些情况下它是不值得的,或者它需要更好地用于做其他事情的资源,例如使Drupal更安全,或避免网站上的安全漏洞 例如,从模块提供给用户的消息表明站点正在运行Drupal(以及确切的版本),但是更改这些消息将意味着每次安装新模块时更改它们,或者模块的新版本已安装。 CSS类是帮助理解网站运行Drupal的其他东西,但更改它们并不容易,因为一些模块依赖于特定的CSS类来工作。 JavaScript代码使用Drupal对象的事实也有助于捕获Drupal站点。

答案 5 :(得分:3)

对旧问题的新答案。 This site会告诉您网站是否使用Drupal构建,并且可以让您的游戏消失。虽然它确实给出了假阴性,所以可能值得用它来测试它并查看你可以混淆的程度。

答案 6 :(得分:2)

你无法真正逃避人们的怀疑。为此,您必须更改文件系统,样式表​​,标记等。这是不合理的。如果你使用Drupal,为什么重要?

答案 7 :(得分:2)

我发现http://wappalyzer.com Chrome扩展程序是检测网站功能的绝佳工具。这不仅仅是检测Drupal,还列出了网站使用的许多第三方工具和底层技术。

答案 8 :(得分:1)

知道Drupal的人可以通过消息来源识别它。但Drupal没有像Joomla或其他人那样的生成器标题。

答案 9 :(得分:1)

过期标题也非常独特。事实上,他们将成为Dries Buytaert(Drupal的创始人)出生日期。据我所知,自Drupal 4.6以来,它们的设置如下所示。

Expires: Sun, 19 Nov 1978 05:00:00 GMT

答案 10 :(得分:1)

死亡赠品:

尝试使用update.php,你将获得Access Denied(以及Garland主题)。

答案 11 :(得分:0)

Chrome有一个名为Chrome Sniffer的插件,可显示构建CMS的任何网站。