我使用基于LAMP的网站,特别是Drupal,并且想知道是否有人知道一个好的安全检查表来帮助审核新的和现有的商业网站的安全漏洞?
干杯。
答案 0 :(得分:2)
Web应用程序安全性的最佳资源无疑是OWASP Top 10。 OWASP是一个致力于提高Web应用程序安全性的非营利性技术组织。他们制作了一份名为“十大最关键的Web应用程序安全风险”的文档,该文档非常易于使用,应涵盖您需要了解的电子商务应用程序的每个角度。
我建议仔细阅读前十名中的每一个(PDF版本非常方便 - 每页1个风险),了解风险和影响,然后确保您知道如何在PHP中适当地缓解这一点。祝你好运!
答案 1 :(得分:1)
数据库记录行限制(admin / settings / logging / dblog)
我发现默认行限制为1000可以快速换行,在您最需要的时候不用重要的调试信息。平均行长度通常约为1kB,因此即使将其增加到100,000行仍然会为您提供可管理的监视表。
用户注册设置(管理员/用户/设置)
访客可以创建帐户的默认值,不需要管理员批准,这很容易被忽视,而且往往是不受欢迎的。
禁用devel模块 admin / build / modules
不仅开发本身,而且可能已经安装了您在生产站点上不需要的其他实用程序(例如伪装,跟踪或编码器)。启用额外的模块可能会影响您网站的性能,甚至在配置错误时也会产生安全漏洞。
设置维护主题(settings.php)
默认情况下,Drupal的网站离线页面使用Minnelli主题。切换这是一个很好的增强,如果您需要使用维护模式,或在不幸的事件中遇到意外停机。在大多数情况下,您网站的主题都可以正常使用;只需添加$ conf [' maintenance_theme'] =' mytheme&#39 ;;到settings.php。您可能还需要在主题中添加maintenance-page.tpl.php;如果你正在使用Zen,那已经为你完成了。
确认电子邮件设置
通常,占位符电子邮件地址将在开发期间填写,并应在部署之前进行更新。我尽可能从一开始就尝试使用正确的地址,但有时候在项目生命的后期才能获得这些信息。除了Drupal的全球site_mail之外,地址还可以存储在各种地方:管理员用户的帐户,联系表单,webforms,ubercart,触发器或CiviCRM设置。
对于Zen用户 - 禁用主题注册表重建(admin / build / themes)
如果您使用Zen开发主题,请不要忘记在每个页面上关闭Rebuild主题注册表。这是一个巨大的性能损失。
错误报告(管理员/设置/错误报告)
在生产网站上,最好通过选择将错误写入日志来抑制屏幕上的错误报告。
效果设置(管理员/设置/效果)
最佳性能设置取决于您的网站。此外,如果不彻底测试您网站的功能,请不要在最后时刻更改缓存设置。理想情况下,我喜欢在项目的大约2/3的时间内完成缓存设置,因此开发和测试的最后阶段将使用与生产匹配的缓存设置来执行。
重定向到/从' www。*' (htaccess的)
Drupal的.htaccess文件包含一个示例RewriteRule,显示如何从example.com重定向到www.example.com,反之亦然。如果您的站点使用SSL,则执行单个域名是必不可少的,即使使用普通HTTP,我也喜欢单个URL的一致性。 此外,由于RewriteCond声明特定于特定主机,因此您可以将多个域添加到同一.htaccess文件中,以用于多站点安装或多个测试/生产主机名。
检查代理设置
如果您的生产服务器使用代理或负载均衡器,Drupal需要一些额外的配置来准确记录远程IP。这会影响错误记录和一些模块,如Mollom。
$ conf [' reverse_proxy'] = TRUE; $ conf [' reverse_proxy_addresses'] =数组( ' 10.10.20.100&#39 ;, ' 10.10.30.100&#39 ;, );