OWASPセキュリティとdrupal
最近、サイトのセキュリティを改善するために、サーバーに [〜#〜] owasp [〜#〜] セキュリティを mod_security を使用して実装および有効化しました。
OWASPセキュリティを有効にした後、adminとしてログインした後、サイトでコンテンツを作成または編集しようとすると、SQL INJECTIONとして表示され、新しいノードを作成または編集できません。
コンテンツを編集すると、"/node/1078/edit"にリダイレクトされ、エラーが表示されます
"Error
The website encountered an unexpected error. Please try again later."
私も解決策を見つけようとしました here が、これまでのところ何の助けにもなりません。すべてのデータベース操作にdrupal database APIを使用しました。 OWASPが「SQL INJECTION」を表示している理由がわかりません。
どうすれば修正できますか?
Drupalとは関係ないと思います。以前にWordPressで同様の問題に直面しましたが、これはmod_securityルールが原因でした。Mod_securityがURLのパラメーターの受け渡しをブロックしていました。この post の一番上の答えが役立つかもしれません。
OWASPはサイトがSQLインジェクションに対して脆弱であると考えているようです。正確な理由を自分で見つける必要があります(目の前のサイトでデバッグする必要があります)が、いくつかのポイントがあります。
- コアバージョンが> = 7.32であることを確認してください。更新前のDrupalにSQLの大きな穴がありました。
- それが確認されたら、カスタムフォームと投稿モジュールを1つずつ無効にし、編集フォームを毎回確認します。それらの1つが原因である場合、その単純なプロセスがそれを見つけます。責任があるcontribモジュールを見つけたら、必ずDrupal.orgのバグレポートを開いてください。
- Drupalコアバージョンが最新であり、どのカスタム/貢献モジュールも責任を負わない場合は、OWASPに連絡して、基準と到着方法を尋ねる必要があります。あなたのサイトは脆弱であるという結論で。
- DrupalコアのSQLインジェクションの別の脆弱性を指摘することによって(オフの場合は非常にありそうもありません)オフのチャンスで、セキュリティチームに報告するようにしてください。貢献モジュールについても同様(詳細可能性があります)。