我目前正在对由第三方开发的网络应用程序进行技术审核。使用过的symfony框架。我是否应该首先访问任何已知问题?例如。任何安全漏洞。
提前感谢您的帮助。
标记
答案 0 :(得分:6)
我已经将symfony框架用于许多应用程序,默认情况下框架本身非常安全。
你可能想要检查的一件事(虽然它不是真正的安全问题)是开发人员替换了默认的错误页面,我不是在谈论404或类似的东西但是当symfony崩溃时它会自动发生到symfony错误页面。
您还可能需要检查security.yml文件以确保所有需要身份验证的模块都设置为is_secure:on。
另外我认为在settings.yml中有一个选项可以设置框架以自动转义邪恶字符以避免XSS。您应该检查是否有东西被转义。我相信默认情况下它在1.2。
也许您还可以查看开发人员是否使用了任何奇怪的插件。一些插件不是由symfony的开发人员创建的,他们无法真正保证其中使用的代码的质量。
查看Symfony Deployment Cheat Sheet。它有一个很好的清单,以确保您的应用程序已准备好部署。
此刻我无法想到任何其他事情。如果使用symfony 1.2,您不必担心框架本身就是一个问题。 IMHO。
答案 1 :(得分:0)
尝试在bugspy.net中搜索:http://bugspy.net/search/?q=symfony
答案 2 :(得分:0)
Symfony拥有一个非常强大的开发人员社区,所以通常很快就会确定安全漏洞。
如果您选择了受支持的框架版本,则可能会快速修复任何安全漏洞。