欧宝娱乐app下载地址Symfony2安全审计
Symf欧宝娱乐app下载地址ony2核心团队非常重视安全问题;我们有一个专门的过程报告此类问题,框架本身试图为开发人员提供所有需要的功能,以轻松地保护他的代码。
感谢我们成功的社区欧宝下载链接捐赠驱动器,SektionEins在今年早些时候对Symfony2代码进行了安全审计。欧宝娱乐app下载地址现在审核已经结束,好消息是Symfony2代码非常可靠;欧宝娱乐app下载地址欧宝app在哪里找只发现了一些小问题。这些问题现在都已经解决了,以下是完整的报告和相关的提交,以供参考:
欧宝娱乐app下载地址Symfony \ HttpFoundation \ \组件请求:isSecure ()
信托基金SSL_HTTPS
而且X_FORWARDED_PROTO
HTTP头来决定是否由SSL提供服务。可用于在执行MITM时进行HTTP降级攻击。也许使使用可配置。欧宝娱乐app下载地址Symfony \ HttpFoundation \ \组件请求:getHost ()
信托基金X_FORWARDED_HOST
HTTP报头。可能会导致问题,如果getHost ()
用于开发/生产切换。或者输出hostname (xss, sql,…)也许使使用可配置。欧宝娱乐app下载地址Symfony \ HttpFoundation \ \组件请求:prepareRequestUri ()
信托基金X_REWRITE_URL
HTTP报头。可用于绕过Web应用程序防火墙强制执行的URL过滤器。也许使使用可配置。欧宝娱乐app下载地址Symfony\Component\Validator\Constraints\TimeValidator::isValid():正则表达式不被锚定。“邪恶载荷”
11:11:11 'bla "将被验证为有效时间。 固定在这里
欧宝娱乐app下载地址Symfony \组件\ HttpFoundation \ HeaderBag: __toString ()
使用preg_replace
与/ e
修饰符。看起来很安全,但是用一些不做动态的语句代替会更好eval ()
欧宝娱乐app下载地址Symfony \ DependencyInjection \ \组件容器:camelize ()
使用preg_replace
与/ e
修饰符。看起来很安全,但是用一些不做动态的语句代替会更好eval ()
欧宝娱乐app下载地址Symfony \组件\ \ Util \ PropertyPath形式::camelize ()
使用preg_replace
与/ e
修饰符。看起来很安全,但是用一些不做动态的语句代替会更好eval ()
固定在这里
欧宝娱乐app下载地址Symfony \ \安全\ \编码器\ PlaintextPasswordEncoder核心组件
:不建议使用此编码器。删除它或发出使用警告。的
PlaintextPasswordEncoder
在使用文摘身份验证时需要保留。饼干:fromString ()
信任数据字符串。因此,即使响应/uri只是HTTP, cookie报头也可以将cookie设置为安全的。这是一个安全问题,因为HTTP中间人攻击可以将HTTPS cookie注入BrowserKit。建议是忽略安全标志,如果原始uri没有给出或不是HTTPS。固定在这里
欧宝娱乐app下载地址Symfony \包\ FrameworkBundle \客户:getScript ()
:如果有任何美元的内核
/美元的请求
属性包含如下输入”);phpinfo (); / /
这将被执行。也'
文件名只会破坏代码。欧宝娱乐app下载地址Symfony \组件\ HttpKernel \客户:getScript ()
:如果有任何美元的内核
/美元的请求
属性包含如下输入”);phpinfo (); / /
这将被执行。也'
文件名只会破坏代码。固定在这里
欧宝娱乐app下载地址Symfony核心组件\ \安全\ \身份验证提供者\ \ AnonymousAuthenticationProvider::验证()
:美元的关键
与! =
.出于安全考虑= = !
建议。固定在这里
欧宝娱乐app下载地址Symfony /包/ FrameworkBundle / exception.html.twig /资源/视图/异常
:异常信息打印在format_file_from_text
格式。这种格式对html来说是安全的。然而,它通常包含异常的用户输入。演示:/ web / app_dev.php / _profiler /出口/ xx < script src =数据:文本;,警报(123);> . txt
固定在这里
评论
评论截止。
为了确保评论保持相关性,旧帖子将被关闭。
最好的问候,
米甲
Hugo Hamon is a certified Symfony engineer.
Get certified! Online exams available in all countries.
Register Now