Symfony有什么弱点吗？

Question

我目前正在对一个由第三方开发的web应用程序进行技术审查。使用的symfony框架。有没有我应该首先访问的已知问题？例如，任何安全漏洞。

提前感谢您的帮助。

标记

Answer 1

我在许多应用程序中使用过symfony框架，默认情况下该框架本身是非常安全的。

你可能要检查的一件事(虽然这不是真正的安全问题)是开发人员替换了默认的错误页面，我不是在谈论404或类似的东西，但当symfony严重崩溃时，它会自动转到symfony错误页面。

您可能还希望检查security.yml文件，以确保所有需要身份验证的模块都设置为is_secure: on。

另外，我认为在settings.yml中有一个选项可以将框架设置为自动转义恶意字符以避免XSS。你应该检查一下有没有东西被泄露了。我相信它在1.2中是默认开启的。

也许你也可以检查一下开发人员是否使用了任何奇怪的插件。有些插件不是由symfony的开发人员创建的，它们不能真正保证其中使用的代码的质量。

查看Symfony Deployment Cheat Sheet。它有一个很好的检查清单，以确保您的应用程序已准备好部署。

我现在真的想不出其他的东西了。如果使用symfony 1.2，您就不必太担心框架本身是个问题。我的天。

Answer 2

尝试在bugspy.net中搜索：http://bugspy.net/search/?q=symfony

Answer 3

Symfony有一个非常强大的开发人员社区，因此识别出的安全漏洞通常会很快得到修复。

如果您选择了受支持的框架版本，任何安全漏洞都可能很快得到修复。

此处列出了这些版本：http://www.symfony-project.org/installation