Запитання з тегом «security»

Використовуйте його для питань, пов’язаних із безпекою веб-сайтів, зокрема з питань, спрямованих на захист сайту Drupal від несанкціонованого доступу.

11
Які рекомендовані дозволи для каталогу?
Я готую для розгортання сайту Drupal 7, і не можу знайти жодної документації про те, для чого слід встановити рекомендовані дозволу на захист файлів та каталогів. Зокрема default/files/(також підкаталоги?) settings.php, .htaccessІ все, що мені слід знати.
145 7  users  security  files 

7
Які недоліки використання коду фільтра PHP у блоках, вузлах, аргументах перегляду тощо?
Я багато разів бачив, як люди казали не використовувати користувальницький фільтр PHP / PHP (з інтерфейсу Drupal) у блоках, вузлах, аргументах перегляду, правилах тощо. Я трохи обшукав і не знайшов багато, схоже, це найкраща практика Drupal, яку всі "просто знають". Наскільки я розумію, це створює потенційний ризик для безпеки, особливо …
96 security 

3
Як оновити лише core за допомогою drush?
Існує величезний витік безпеки в <7,32. Тому я хочу оновити всі мої сайти Drupal якнайшвидше, не надто переживаючи про те, щоб зламати речі. Але ... $ drush dl drupal-7.32 It's forbidden to download drupal core into an existing core. Цей працює: $ drush up Але це не те, що я …

7
Drupal SA-CORE-2014-005 - Як дізнатись, чи порушено мій сервер / сайти?
Я щойно оновив усі мої сайти, використовуючи метод патчу для вирішення подвигу Drupal SA-CORE-2014-005. Я щойно читав повідомлення про те, що лише вчора хтось із російських ІС проник в друпальські сайти. https://www.drupal.org/SA-CORE-2014-005 Мої основні проблеми зараз: Як дізнатись, чи містяться мої сайти? Що я повинен шукати в своїх журналах доступу …
40 7  security 

6
Які атаки запобігає патч для SA-CORE-2014-005 (Drupal 7.32)?
Читання на https://www.drupal.org/node/2357241 та технічні деталі на https://www.drupal.org/SA-CORE-2014-005 , а також власне виправлення, яке просто: diff --git a/includes/database/database.inc b/includes/database/database.inc index f78098b..01b6385 100644 --- a/includes/database/database.inc +++ b/includes/database/database.inc @@ -736,7 +736,7 @@ abstract class DatabaseConnection extends PDO { // to expand it out into a comma-delimited set of placeholders. foreach (array_filter($args, 'is_array') …
33 security 


1
Чи достатньо check_plain ()?
Чи достатньо check_plain () для повторного відображення тексту, введеного користувачами у веб-переглядачі, чи все ж слід фільтрувати за допомогою filter_xss () ?
16 security 

3
Область і адміністратор Drupal, захищаючи їх HTTPS
Я багато читав про це і перепробував багато методів, які я знайшов, і досі не зміг домогтися належного функціонування. Я хочу мати змогу захистити область адміністратора та пов'язані сторінки входу. Тому все, що в example.com/admin/* або example.com/user/* тощо, повинно перейти через SSL / TLS. Ми хотіли б, щоб це було …
15 users  security  ssl 

1
безпечно db_insert?
Я використовую метод db_insert Drupal 7 , щоб вставити дані в спеціальну таблицю в базі даних Drupal. Я читав, що це кращий шлях, проте я пройшов код і doco, і не бачу ніде, що розбирає значення, або говорить мені, що ці значення безпечні. Деякі значення надходять від користувача, тому мені …

6
Як боротися з тим, хто намагається увійти як адміністратор?
У ці останні дні я помітив у своєму dblog, що хтось намагається прокрастись. Користувач спробував знайти URL-адресу входу (мій веб-сайт не відкритий для реєстрації користувача), тому він спробував усе з my-domain.com/admin, my-domain.com/administrator .. а також my-domain.com/wp- логін (який вказує на те, що людина не знайомий з drupal ..) Після того, …
14 security  users 


1
Як і коли використовувати filter_xss () та check_plain ()?
На views-view-fields--magazine--magazine.tpl.phpмоєму веб-сайті є багато файлів шаблонів, таких як цей . як і коли я повинен використовувати filter_xss () та check_plain () для покращення безпеки? наприклад, це код: <div> <div class="bf-header bf-article-header"><?php print $fields['title']->content; ?></div> <div class="bf-article-body"><?php print $fields['field_magazine_body']->content;?></div> <div class="bf-article-image"><?php print $fields['field_magazine_image']->content;?></div> </div> <div class="separator article-view-separator"></div> Як я можу …
11 security 

4
Хтось намагається змусити пароль придушити грубу силу
Переглядаючи журнал сайту, я виявив, що хтось із IP-адресою: 91.236.74.135 методично надсилає запити на сторінку: / user? Призначення = вузол / додати мого веб-сайту Drupal. Він робить це раз на кожну годину. Це безумовно бот. Думаю, він намагається грубо примусити пароль. Поки що я заборонив його в .htaccess с deny …
10 security 

4
Як сказати, чи міститься мій сайт Drupal з експлуатації березня SA-CORE-2018-002 - 2018?
Щойно випущений експлойт: https://www.drupal.org/sa-core-2018-002 --- Drupal core - високо критичний - віддалене виконання коду - SA-CORE-2018-002 Як я можу дізнатися, чи хтось використовував цей подвиг для злому мого сайту? Що вони можуть зробити з цим подвигом, якщо виконано правильно? Я не можу зараз оновити свої сайти Drupal, що є хорошою …

4
Чи безпечно drupal від атаки входу на грубі сили?
Напад грубої сили - це спроба отримати несанкціонований доступ до веб-сайту шляхом постійного генерування та введення різних комбінацій пароля. Це завдання, як правило, виконується програмним забезпеченням для автоматизації ("ботом"), яке шукає повідомлення про успіх чи помилку і продовжує пробувати нові паролі, поки не отримає повідомлення про успіх. Чи безпечно проти …
9 security 
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.