欧宝娱乐app下载地址Symfony2安全审计

2011年10月7日·发表的

Symf欧宝娱乐app下载地址ony2核心团队非常重视安全问题;我们有一个专门的过程报告此类问题，框架本身试图为开发人员提供所有需要的功能，以轻松地保护他的代码。

感谢我们成功的社区欧宝下载链接捐赠驱动器，SektionEins在今年早些时候对Symfony2代码进行了安全审计。欧宝娱乐app下载地址现在审核已经结束，好消息是Symfony2代码非常可靠;欧宝娱乐app下载地址欧宝app在哪里找只发现了一些小问题。这些问题现在都已经解决了，以下是完整的报告和相关的提交，以供参考:

欧宝娱乐app下载地址Symfony \ HttpFoundation \ \组件请求:isSecure ()信托基金SSL_HTTPS而且X_FORWARDED_PROTOHTTP头来决定是否由SSL提供服务。可用于在执行MITM时进行HTTP降级攻击。也许使使用可配置。
欧宝娱乐app下载地址Symfony \ HttpFoundation \ \组件请求:getHost ()信托基金X_FORWARDED_HOSTHTTP报头。可能会导致问题，如果getHost ()用于开发/生产切换。或者输出hostname (xss, sql，…)也许使使用可配置。
欧宝娱乐app下载地址Symfony \ HttpFoundation \ \组件请求:prepareRequestUri ()信托基金X_REWRITE_URLHTTP报头。可用于绕过Web应用程序防火墙强制执行的URL过滤器。也许使使用可配置。
固定在这里而且在这里．
欧宝娱乐app下载地址Symfony\Component\Validator\Constraints\TimeValidator::isValid():正则表达式不被锚定。“邪恶载荷” 11:11:11 'bla "将被验证为有效时间。
固定在这里
欧宝娱乐app下载地址Symfony \组件\ HttpFoundation \ HeaderBag: __toString ()使用preg_replace与/ e修饰符。看起来很安全，但是用一些不做动态的语句代替会更好eval ()
欧宝娱乐app下载地址Symfony \ DependencyInjection \ \组件容器:camelize ()使用preg_replace与/ e修饰符。看起来很安全，但是用一些不做动态的语句代替会更好eval ()
欧宝娱乐app下载地址Symfony \组件\ \ Util \ PropertyPath形式::camelize ()使用preg_replace与/ e修饰符。看起来很安全，但是用一些不做动态的语句代替会更好eval ()
固定在这里
欧宝娱乐app下载地址Symfony \ \安全\ \编码器\ PlaintextPasswordEncoder核心组件:不建议使用此编码器。删除它或发出使用警告。
的PlaintextPasswordEncoder在使用文摘身份验证时需要保留。
饼干:fromString ()信任数据字符串。因此，即使响应/uri只是HTTP, cookie报头也可以将cookie设置为安全的。这是一个安全问题，因为HTTP中间人攻击可以将HTTPS cookie注入BrowserKit。建议是忽略安全标志，如果原始uri没有给出或不是HTTPS。
固定在这里
欧宝娱乐app下载地址Symfony \包\ FrameworkBundle \客户:getScript ():如果有任何美元的内核/美元的请求属性包含如下输入”);phpinfo (); / /这将被执行。也＇文件名只会破坏代码。
欧宝娱乐app下载地址Symfony \组件\ HttpKernel \客户:getScript ():如果有任何美元的内核/美元的请求属性包含如下输入”);phpinfo (); / /这将被执行。也＇文件名只会破坏代码。
固定在这里
欧宝娱乐app下载地址Symfony核心组件\ \安全\ \身份验证提供者\ \ AnonymousAuthenticationProvider::验证()：美元的关键与! =．出于安全考虑= = !建议。
固定在这里
欧宝娱乐app下载地址Symfony /包/ FrameworkBundle / exception.html.twig /资源/视图/异常:异常信息打印在format_file_from_text格式。这种格式对html来说是安全的。然而，它通常包含异常的用户输入。演示:/ web / app_dev.php / _profiler /出口/ xx < script src =数据:文本;,警报(123);> . txt
固定在这里