泄露网站是Drupal的迹象?
我试图以这样一种方式修改我的站点,这样当人们查看它时,他们不知道它是由Drupal提供支持的。所以,我想知道是否有任何迹象表明我应该知道这一点 我知道的一些赠品包括:泄露网站是Drupal的迹象?,drupal,Drupal,我试图以这样一种方式修改我的站点,这样当人们查看它时,他们不知道它是由Drupal提供支持的。所以,我想知道是否有任何迹象表明我应该知道这一点 我知道的一些赠品包括: 添加内容时,会显示“节点/添加” 如果存在以下文件:misc/favicon.ico 等 我在找类似的东西?你真的逃不过人们的怀疑。为此,您必须更改文件系统、样式表、标记等。这是不合理的。为什么使用Drupal很重要?了解Drupal的人可能会通过来源来识别它。但是Drupal没有像Joomla或其他人那样的生成器标题。让我们看看
我在找类似的东西?你真的逃不过人们的怀疑。为此,您必须更改文件系统、样式表、标记等。这是不合理的。为什么使用Drupal很重要?了解Drupal的人可能会通过来源来识别它。但是Drupal没有像Joomla或其他人那样的生成器标题。让我们看看基于Drupal的一个相当定制的页面:(来自。 有很多赠品:
- 如果将www.example.com/link/link2更改为www.example.com/?q=link/link2,它仍然可以工作并指向正确的页面
- www.example.com/user/1为您提供一个配置文件页面
- 资源(IMG、css等)位于/sites/all | example.com/themes/或类似位置
- 有一些CSS类应用于网站的许多关键元素(如
),它们不会改变外观-Drupal使用它们提供有关页面状态的一些信息(如body
) - 可能还有很多
由于这个问题仍然很受欢迎,让我用一个大型公司(波兰最大的电话公司之一)的网站的例子来更新它,让我(高兴)感到惊讶的是,该公司的主要网站使用Drupal:
- 通常的赠品页面,如/user/1、/login等,会重定向到主页,这样你就可以看到网站的创建者已经完成了他们的功课;)李>
- …但页面的来源包含我最喜欢的赠品:zen主题的使用:URL,如
或应用的css样式:/sites/all/themes/zen dialog主页/。/zen/css/page-strona_-glowna.php
- 另一个赠品是有熟悉的花环主题的页面(这一个的道具)李>
- 登录页面为/user或/user/Login
- 管理员页面为/Admin或?q=Admin
- /节点显示最新节点的列表
- /node/n其中n是一个数字,显示具有该数字的节点(例如/node/1显示创建的第一个节点)
- 视图源中对象类中的“节点”或“视图”一词
- 在分页的东西中,第2页实际上在URL中显示为第/1页或第/1页(Drupal分页URL有点像那种极客)
正如其他人所说,不要对此太担心。这是浪费时间。只要让Drupal core和您的所有模块保持最新(您甚至可以将其设置为在为您安装的模块发布安全版本时向您发送电子邮件),您就不必担心任何事情。快速了解站点是否为Drupal站点的方法
- 浏览源代码并搜索或Drupal.settings(显示在使用google analytics模块的所有网站上)
- 如果Drupalite将显示当前版本,请访问www.example.com/CHANGELOG.txt
- 标记:
- 给403
- 管理/构建/模块->给出403
- HTTP Expires标头设置为Dries(Drupal的创建者)生日
- 你在浪费时间:
默默无闻不是一种安全感。试图隐藏Drupal可能只会诱使黑客打败你
<>如果有安全漏洞,你几乎肯定会错过它,而黑客只需要尝试一个特定的攻击向量。他或她不会检查它是否是Drupal。您的攻击可能来自不在乎的软件
您对隐藏Drupal所做的更改实际上可能会降低站点的安全性。尤其是如果你改变了核心,并且无法判断你的网站是否是最新的
您隐藏Drupal所付出的努力很有可能被应用到一个经过验证的、有效的安全策略中,并获得更好的结果。expires头也非常独特。事实上,它们被设定为Dries Buytaert(Drupal的创建者)的出生日期。据我所知,自Drupal 4.6以来,它们的设置如下所示
Expires: Sun, 19 Nov 1978 05:00:00 GMT
死亡赠品:
尝试使用update.php,您将获得拒绝访问(以及Garland主题)。旧问题的新答案。将告诉你一个网站是否是用Drupal建立的,并可能会泄露你的游戏。不过,它确实会给出错误的否定,因此可能值得在该网站上进行测试,看看你能在多大程度上混淆它。Chrome有一个名为Chrome Sniffer的附加组件,可以显示任何网站的CMS构建基础。(Drupal安全团队的负责人)写了一篇关于隐藏网站运行Drupal的事实的文章: 网站何时使用Drupal的一些信息可以更改,但在某些情况下,这些信息不值得更改,或者需要更多的资源来做其他事情,比如让Drupal更安全,或者避免网站上的安全漏洞。
例如,提供给用户的消息