我目前正在对第三方开发的网络应用程序进行技术审查。使用的 symfony 框架。是否有任何我应该首先访问的已知问题?例如。任何安全漏洞。
在此先感谢您的帮助。
标记
最佳答案
我已经为许多应用程序使用了 symfony 框架,框架本身在默认情况下非常安全。
你可能想要检查的一件事(虽然这不是真正的安全问题)是开发人员替换了默认错误页面,我不是在谈论 404 或类似的东西但是当 symfony 严重崩溃时它会自动去到 symfony 错误页面。
您可能还需要检查 security.yml 文件以确保所有需要身份验证的模块都设置为 is_secure: on。
我还认为在 settings.yml 中有一个选项可以将框架设置为自动转义恶意字符以避免 XSS。您应该检查是否正在转义。我相信它在 1.2 中是默认打开的。
也许您还可以查看开发人员是否使用了任何奇怪的插件。有些插件不是由 symfony 的开发人员创建的,他们不能真正保证其中使用的代码的质量。
查看 Symfony Deployment Cheat Sheet .它有一个很好的检查 list ,以确保您的应用程序已准备好部署。
我现在真的想不出别的了。如果使用的是 symfony 1.2,则不必太担心框架本身的问题。恕我直言。
关于php - Symfony 有弱点吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1797594/