防止Drupal中的漏洞利用

Question

Drupal（包括常用模块）中是否有一个很好的资源或已知修复程序列表可用于关闭我网站中的漏洞？

我在所有网站上使用6.19，并确保立即安装模块的任何安全更新。还有什么我可以现实地做的吗？ （例如限制访问所有“/ admin”URL到某组IP地址等）

我知道明显的比特，例如过滤表格上的用户输入等，但我想知道是否还有其他需要担心的陷阱......

Answer 1

只是所有常见的PHP安全性。实际上，只有top 10 as published by OWASP。 但是，Drupal充当了Web应用程序框架，在这里也有一点点。

• 如果您开发自己的Drupal模块，请务必遵守writing secure code
• 如果您只使用贡献的模块，您应该a）确保订阅Drupal的安全邮件列表，b）始终升级您的代码，c）可选地，通过“编写安全代码”手动扫描所有使用过的模块“，如上所述。

Drupal为所有前10个OWASP问题提供了安全模型和层。虽然A6（配置）可能会出错。您将需要了解您正在做什么，并需要详细阅读Drupals管理员的在线帮助。您可以通过更改设置轻松打开安全漏洞，而无需知道它们的确切操作。例如：我见过很多Drupal站点将默认的“输入格式”切换为例如完整的HTML，因为他们认为这有助于编辑，没有意识到这使得这种格式成为所有内容的过滤器，包括评论。在所有地方开放XSS发布。 Drupals在线帮助提到了这一点，但人们通常不会读到：）

另一件事是，Drupal不会提前扫描代码。人们必须阅读槽代码，并在处理之前报告发现的安全问题。如果你运行许多第三方模块，你几乎可以确定其中至少有一个会有一个安全漏洞。如果你想避免这种情况，你必须自己扫描，否则完全避免使用这些模块。

Answer 2

Drupal它的自我非常安全，但它的模块不是。您最有可能通过修改默认的Drupal安装来入侵。

据说你应该安装一个Web Application Firewall。确保使用PHPSecInfo和lock down MySQL正确配置了php。 （FILE权限是您可以为Web应用程序提供的最差权限）

Answer 3

考虑到你使用Drupal核心和几个最流行的模块，它是非常安全的。不过，你需要记住一些事情：

1. 如果您使用Drupal 6核心模块上传并允许用户上传文件，请确保从允许的文件扩展名中删除了“txt”。它可用于利用Internet Explorer MIME嗅探器错误，导致XSS / HTMLi。我前一段时间就是writing。
2. 如果您关心Clickjacking，可以尝试使用SafeClick模块。
3. 如果您使用视图模块，请不要使用Exposed Filters（tssss，我不应该谈论这个）
4. Drupal不是一件容易的事。确保您的Web服务器已经过强化。

Answer 4

这是一本关于Drupal安全主题的书：

http://www.amazon.com/Cracking-Drupal-Bucket-Greg-Knaddison/dp/0470429038