Просто вся распространенная безопасность PHP.На самом деле, это просто топ 10, опубликованный OWASP .Тем не менее, Drupal выступает в качестве фреймворка для веб-приложений, здесь тоже немного.
- Если вы разрабатываете свои собственные модули Drupal, обязательно придерживайтесь написания безопасного кода
- Если вы используете только добавленные модули, вам следует: а) убедиться, что вы подписались на список рассылки по безопасности Drupal, и б) постоянно обновлять свой код, и в) при желании вручную сканировать все используемые модули с помощью «написания безопасного кода».msgstr "", упомянуто выше.
В Drupal есть модели и уровни безопасности для решения всех 10 проблем OWASP.Хотя А6 (конфигурация) может пойти не так.Вам нужно будет понять, что вы делаете, и вам нужно подробно прочитать онлайн-справку в админке Drupals.Вы можете легко открыть дыры в безопасности, изменив настройки, не зная, что именно они делают.Например: я видел много сайтов на Drupal, которые переключают «формат ввода» по умолчанию, например, на Full HTML, потому что они думают, что это помогает редакторам, не понимая, что это делает этот формат фильтром для всего контента, включая комментарии.Открытие XSS-постинга повсюду.В справочной системе Drupals об этом упоминается, но люди часто этого не читают:)
Еще одна вещь, которую нужно понять, это то, что Drupal не сканирует код заранее.Люди должны прочитать код и сообщить о найденных проблемах безопасности, прежде чем их решать.Если вы используете много сторонних модулей, вы можете быть почти уверены, что по крайней мере один из них будет иметь дыру в безопасности.Если вы хотите избежать этого, вы должны отсканировать себя, или вообще избегать таких модулей.