配置文本格式(又名输入格式)的安全

一路上有亮 提交于 8 March 2012

原文链接:http://drupal.org/node/224921

 

Drupal的输入格式提供的各种福利。它们可以用来提高您的网站的功能,但主要目的之一是要确保您的网站上输入的数据是安全的网站的访问者。例如,如果你允许匿名评论“HTML全文”输入格式,访问者可以添加一个不适当的图片或恶意JavaScript代码能够改变你的密码在网站上。

默认的输入格式的配置和权限是安全的。有很多的事情,你可能会改变,这可以让他们不安全的情侣:

保护用户#1

一路上有亮 提交于 8 March 2012

原文链接:http://drupal.org/node/947312

 

在Drupal(#1用户)在安装过程中创建的帐户是一个特殊的帐户。首先,它绕过所有访问回调 - 这意味着它具有默认情况下,所有权限。否则,以确保该帐户可能会导致潜在的安全风险。

有追索权的几个选项,以确保该帐户 -

确保蛮力登录尝试被拒绝

Drupal的6和更早的,默认情况下,不防止蛮力登录尝试。一个机器人可以尝试字典攻击来猜测用户密码不被锁定。相反,登录安全模块可以安装在Drupal 6中添加此功能。

(此功能已被添加到Drupal 7的核心,请参阅#485974:提高安全性:速率限制登录尝试。)

防止不可信的PHP执行

一路上有亮 提交于 8 March 2012

原文链接:http://drupal.org/node/615888

 

重要的是要了解一个Drupal用户执行PHP的影响。

这通常发生时,用户可以输入到一个窗体的PHP代码,提交表格,并在服务器上的PHP运行。

请注意,保安队安全政策确定的权限,可以让整个网站收购。“管理用户”的权限将进一步讨论下来的页面。

损害

PHP可以用来修改Drupal站点。当它在服务器上执行,PHP作为Web服务器运行相同的用户运行。此用户(通常WWW数据)将能够在网站的“文件”目录删除或修改文件。

PHP也可以用来修改Drupal数据库本身。这种方式可以删除表,节点的内容可以修改,可以改变用户的详细信息。有一百万的方式,采取现场控制,当PHP可以执行。

牧羊人手册

一路上有亮 提交于 8 March 2012

原文链接:http://drupal.org/node/1000550

 

牧羊人的目标是让多个网站的维护者,以查看每个网站的安全挂起更新的状态。这减轻了需要检查每个站点分别为当前的更新状态。当新的安全更新发布的维护者将很快能够看到哪些网站受到影响。

概览

牧羊人在一个简单的客户机/服务器模式运作。它有两个组成部分。可以启用组件的任意组合,仅客户端,服务器只,或两者兼而有之。

牧羊人服务器可以允许来自客户端的IP白名单上的一个POST回调。它还提供跟踪客户的“羊群报告”。它可以安装在当前的Drupal实例,或单独作为一个独立的Drupal实例的一部分。

牧羊人的客户端(羊),检查和报告等候的牧羊人服务器的安全发布。

为了方便客户的信息,羊节点创建,保存和更新随着时间的推移。他们有节点ID,但依靠从客户端网站名称,IP地址,基本URL / vhost的信息生成一个哈希键。羊节点可以在任何时间删除,如果需要的话。他们对未来的cron运行客户端会重新填充。如果使用drush的运行cron,看到下面drush票据。

检测和预防

一路上有亮 提交于 8 March 2012

原文链接:http://drupal.org/node/599564

 

这些模块可以帮助检测和预防Drupal站点上的安全问题。不幸的是,其中一些需要熟练的操作人员或开发人员使用的模块(例如,编码器模块,包括安全漏洞检查,但只能由开发人员使用)。

检测模块

检测是一个安全问题或事件已检测到,而不是意味着一个漏洞被暴露在你的网站,或者攻击成功反对票Drupal站点的状态。此模块可帮助您确定这些问题:

隐私管理

一路上有亮 提交于 8 March 2012

原文链接:http://drupal.org/node/598622

 

Drupal的访问控制设施使用内容用户或角色授予权限。有时,这些准入限制被错误地称为“隐私”。隐私权作为这里讨论围绕存储的数据保留,包括什么样的信息保存在数据库或文件系统和它是如何存储的。隐私的例子是随机的IP地址被使用,或者被保存在数据库中之前cyphered的领域。

订阅

分类

最新话题