«security» etiketlenmiş sorular

Bir Drupal 7 sitesi dağıtmaya hazırlanıyor ve önerilen güvenlik bilincine sahip dosya ve dizin izinlerinin neye ayarlanması gerektiği konusunda herhangi bir belge bulamıyorum. Özellikle default/files/(ayrıca dizinleri alt?), settings.php, .htaccessVe başka bir şey ben farkında olmalıdır.

145 7  users  security  files 

Özel PHP / PHP filtresi (Drupal UI'dan) bloklarda, düğümlerde, görünüm argümanlarında, kurallarda vb. Kullanmamayı söyleyen birçok kişi gördüm. Biraz aradım ve fazla bir şey bulamadım, sanırım Bu, tümünün "sadece bildiği" bir Drupal en iyi uygulamasıdır. Özellikle son kullanıcıların veya Drupal veya PHP’de yeni kişilerin ellerinde potansiyel bir güvenlik riski oluşturduğunu, …

96 security 

<7.32’de büyük bir güvenlik sızıntısı var. Bu yüzden, tüm Drupal sitelerimi en kısa zamanda endişelenmeden yükseltmek istiyorum. Fakat... $ drush dl drupal-7.32 It's forbidden to download drupal core into an existing core. Bu bir çalışır: $ drush up Ama şimdi istediğim bu değil. Çekirdeği sadece en son sürüme nasıl yükseltebilirim? …

52 drush  upgrading  security 

Tüm sitelerimi, Drupal SA-CORE-2014-005 istismarını çözmek için kullanılan yama yöntemini kullanarak güncelledim. Az önce dünkü bir Rus IP'den sızan drupal sitelerden birinin olduğunu bildiren raporları okudum. https://www.drupal.org/SA-CORE-2014-005 Asıl endişelerim şuan: Sitelerimin içerip içermediğini nasıl anlarım? Sitemin kurban olup olmadığını tespit etmek için apache erişim günlüklerimde ne aramalıyım? Şimdiye kadar bu …

40 7  security 

Üzerinde okuma https://www.drupal.org/node/2357241 ve teknik detaylar https://www.drupal.org/SA-CORE-2014-005 basitçe gerçek yama yanı sıra: diff --git a/includes/database/database.inc b/includes/database/database.inc index f78098b..01b6385 100644 --- a/includes/database/database.inc +++ b/includes/database/database.inc @@ -736,7 +736,7 @@ abstract class DatabaseConnection extends PDO { // to expand it out into a comma-delimited set of placeholders. foreach (array_filter($args, 'is_array') as $key => …

33 security 

Arasındaki farklar nelerdir ['value']ve ['safe_value']?

31 7  entities  security 

Check_plain () , tarayıcıda kullanıcılar tarafından girilen metni yeniden görüntülemek için yeterli mi yoksa yine de filter_xss () ile filtrelemeli miyim ?

16 security 

Bu konuda çok şey okudum ve bulduğum ve henüz düzgün bir şey elde edemediğim yöntemlerin çoğunu deniyorum. Yönetici alanını ve ilişkili giriş sayfalarını güvence altına almak istiyorum. Yani example.com/admin/* veya example.com/user/* vb. Alanlardaki herhangi bir şeyin SSL / TLS üzerinden geçmesi gerekir. Bunun, çoklu site kurulumuna sahip her siteye uygulanmasını …

15 users  security  ssl 

Drupal veritabanındaki özel bir tabloya veri eklemek için Drupal 7 yöntemini db_insert kullanıyorum . Bu tercih edilen yol olduğunu okudum, ancak kod ve doco yürüdü ve ben değerleri ayrıştıran, ya da bu değerlerin güvenli olduğunu söyleyen bir yerde göremiyorum. Bazı değerleri kullanıcı geliyor bu yüzden SQL enjeksiyon saldırılarına karşı kontrol …

15 database  security 

Bu son günlerde, dblog'umda birisinin gizlice kaçmaya çalıştığını fark ettim. Kişi, giriş URL'sini bulmaya çalıştı (web sitem kullanıcı kaydı için açık değil), bu yüzden my-domain.com/admin, my-domain.com/administrator .. ve ayrıca my-domain.com/wp- giriş (kişinin drupal'a aşina olmadığını gösterir.) Kişi bir kez / kullanıcı olarak sona erdiğinde, farklı kullanıcı adlarını deneyerek yönetici olarak …

14 security  users 

Drupal'ı yükledikten sonra kök dizinde silmem gereken dosyalar var. İnstall.php'in bunlardan biri olduğunu biliyorum. Başka hangi dosyaları silmeliyim?

14 7  security  installing 

views-view-fields--magazine--magazine.tpl.phpWeb sitemde bunun gibi çok sayıda şablon dosyası var . güvenliği artırmak için filter_xss () ve check_plain () yöntemini nasıl ve ne zaman kullanmalıyım? örneğin bu kod: <div> <div class="bf-header bf-article-header"><?php print $fields['title']->content; ?></div> <div class="bf-article-body"><?php print $fields['field_magazine_body']->content;?></div> <div class="bf-article-image"><?php print $fields['field_magazine_image']->content;?></div> </div> <div class="separator article-view-separator"></div> Bu işlevleri içine nasıl …

11 security 

Site günlüğüne baktığımda IP adresi: 91.236.74.135 olan birisinin yöntemsel olarak Drupal web sitemin / kullanıcı? Hedef = düğüm / ekleme sayfasına istek gönderdiğini buldum. Her saat başı bir kere yapıyor. Kesinlikle bir bot. Bence parolayı zorlamaya çalışıyor. Şimdilik onu .htaccess ile yasakladım deny from 91.236.74.135 Herhangi bir kişi, siteyi girişlere …

10 security 

Yeni yayınlanan istismar: https://www.drupal.org/sa-core-2018-002 --- Drupal çekirdek - Son derece kritik - Uzaktan Kod Yürütme - SA-CORE-2018-002 Birinin sitemi hacklemek için bu istismarı kullanıp kullanmadığını nasıl anlayabilirim? Düzgün çalıştırılırsa bu istismarla ne yapabilirler? Drupal sitelerimi şimdi güncelleyemiyorum, bu deliği kolayca düzeltmek için iyi bir alternatif nedir?

9 security  version-control 

Kaba kuvvet saldırısı, sürekli olarak bir parola kombinasyonu oluşturarak ve girerek bir web sitesine yetkisiz erişim elde etme girişimidir. Bu görev genellikle başarı veya başarısızlık mesajlarını arayan ve başarı mesajı alana kadar yeni şifreleri denemeye devam eden otomasyon yazılımı ("bot") tarafından yapılır. Drupal 7 varsayılan olarak ona karşı güvenli midir? …

9 security