SA-2008-051 - Mailsave –跨站点脚本
- 编号:DRUPAL-SA-2008-051
- 项目: Mailsave(第三方模块)
- 版本:Drupal 5.x, 6.x
- 日期:2008年9月17日
- 安全风险:危险
- 攻击点:远程
- 漏洞:跨站点脚本
SA-2008-050 - Mailhandler – SQL注入
- 编号: DRUPAL-SA-2008-050
- 项目: Mailhandler(第三方模块)
- 版本: Drupal5.x, 6.x
- 日期:2008年9月17日
- 安全风险:高度危险
- 攻击点: 远程
- 漏洞: SQL注入
SA-2008-049 – Talk – 多个漏洞
- 编号: DRUPAL-SA-2008-049
- 项目:Talk(第三方模块)
- 版本: Drupal5.x, 6.x
- 日期:2008年9月17日
- 安全风险: 中级
- 攻击点: 远程
- 漏洞:跨站点脚本,绕过节点访问控制
SA-2008-048-b - CCK - Cross site scripting
• 编号: DRUPAL-SA-2008-048-b
• 项目:CCK(第三方模块)
• 版本: 5.x
• 日期: 2008年9月- 04
• 安全风险:不关键
• 攻击点: 远程
• 漏洞:跨站点脚本
更新
此安全公告是对SA-2008-048公告的更新,原公告建议将Drupal 5.x的CCK升级到5.x-1.8.现在你应该升级到5.x-1.9.
描述
CCK 允许某些特权用户通过浏览器为节点类型添加新的字段.
一些输入字段设置(字段标签,帮助文本, 允许的值),在没有经过合适的过滤就被展示了出来.具有“管理内容”权限的恶意用户,可以利用这一点,向页面中插入任意的HTML和脚本代码。这样,恶意用户就可以使用XSS攻击来获取更多的权限。
只有当你的站点管理员比较多时,有多个管理员账号时,这才是一个问题,如果你只有超级用户这1个管理员的话,就不会遇到这个问题。
Joe Tsui的drupal站点
joetsuihk是国内(香港)drupal界的元老了,上面的这个是他的个人网站,里面放置了大量的原创drupal技术文章,http://www.joetsuihk.com/drupal,不知道Joe Tsui是不是对外提供技术培训,刚开始的许多模块的介绍,方法的使用,都是从这里学习的。
Drupal Groups
这个是drupal各种小组的讨论地,小组的种类很多,和许多web2.0一样,这里强调的是交互性,很多web2.0的功能这里都有,不过感觉不好的地方,是没有别的网站做的漂亮。
Acquia
acquia对于drupal来说,就如同sun对于java一样,小红帽对于linux一样,微软对于windows一样。Acquia要做的是成为drupal界的小红帽。Acquia的CTO就是Drupal的创始人Dries Buytaert。它将对外发布基于drupal的产品,对企业用户提供商业化支持。
lullabot--drupal培训
这个网站也是我经常去的,特别是刚开始学习drupal的时候,应该是读到了一篇不错的drupal技术文章,里面有个链接,指向了这个网站。进取一看,果然有不少好东东。特别是里面有不少的技术文章,很多写的都很有深度。
页面
