أمن Coldfusion [مغلق
https://stackoverflow.com/questions/2472211
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
ما هي أفضل الممارسات لتأمين صفحة ويب Coldfusion من المستخدمين الخبيثين؟ (بما في ذلك ، على سبيل المثال لا الحصر ، هجمات حقن SQL)
هل cfqueryparam كافية؟
المحلول
يمكنني استخدام portcullis المعدلة ، وتصفية جميع النطاقات var الواردة (url ، form ، cookie) onrequestStart.http://portcullis.riaforge.org/
نصائح أخرى
بيت فريتاج لديه مدونة رائعة ، وخاصة هذا المنشور تصلب coldfusion
أود أن أقول إن أفضل الممارسات لـ ColdFusion تشبه تلك الخاصة ببرمجة تطبيقات الويب بأي لغة.
قرأت مؤخرا أمن PHP أساسي تؤثر كريس شيفليت وأغلبية القضايا التي تمت مناقشتها على البرد أيضًا ، على الرغم من أن بناء الجملة للتعامل معها قد يكون مختلفًا قليلاً. أتوقع أن هناك كتبًا أخرى غير ملائمة للغة (ربما أفضل) تحتوي على مبادئ يمكن تغييرها بسهولة للاستخدام في Coldfusion.
على الرغم من أن استخدام حل مسبقًا سيعمل ، إلا أنني أوصي بمعرفة جميع المشكلات المحتملة التي يجب حمايتها. تحقق من الاختراق مما يؤدي إلى Coldfusion في أمازون.
مكان رائع آخر للتعرف على الأمان (وجميع أنواع الموضوعات الأخرى) هو الاطلاع على قائمة تشارلي أريهارت الضخمة لعروض مجموعة المستخدمين المسجلة: http://www.carehart.org/ugtv/
لا تثق في العميل أبدًا.
تتبع "مجموعة Set and Forget" الأكثر تحديداً من ColdFusion إرشادات تصلب مسؤول الخادم المذكورة أعلاه ، مع الحفاظ على تحديث الخادم ، واتباع ColdFusion على Twitter للتعرف على أي مشكلات جديدة على الفور.
بالنسبة لأمن التطبيق ، وهو أمر شائع في جميع اللغات ، يجب عليك التحقق من صحة كل جزء من المعلومات التي تمس الخادم الخاص بك من العميل. النماذج هي مجالات واضحة للتحكم الضيق ، ولكن لا تنسى معلمات عنوان URL الذي قد تستخدمه لإدارة حالة التطبيق أو التحكم. شيء مثل و StarTrow = 10 & tag = الأمان الذي ليس "من المفترض" أن يمسه المستخدم هو إدخال المستخدم. حتى لو استطاع طلبك أبداً كسر البيانات غير صالحة ، قد لا تعرف كيف سيتم استخدام هذه البيانات في المستقبل. يمكن أن يكون التحقق من الصحة بهذه البساطة مثل ضمان عدم إدخال شخص ما 100 حرف طويل ولا يحتوي على شخصيات برمجة أو ضمان أن & StarTrow دائمًا رقم. هذه هي الأشياء الصغيرة التي يتخطاها مطورو التطبيقات أحيانًا لأن كل شيء يعمل بشكل جيد طالما أنك تستخدم البرنامج كما هو متوقع.
أعتقد أنه يمكنك النظر إلى قرصنة Sony PlayStation كمثال. لسوء الحظ ، لم يتوقعوا أن يخترق شخص ما العميل (PlayStation Console) ومعالجة برنامج PlayStation Console لاختراق الخادم. الخادم يثق في العميل.
لا تثق في العميل أبدًا.
فيما يلي معلومات عن أداة جيدة يمكن استخدامها لمنع XSS.
https://www.owasp.org/index.php/category:Owasp_antisamy_project
http://www.petefreitag.com/item/760.cfm
من السهل إلى حد ما تنفيذها ومقرها جافا.
أنصحك الحديث الممتاز لجوستين ماكلين "Coldfusion الأمن وإدارة المخاطر". ويشمل دراسة حالة.
عرض PDF http://cdn.classsoftware.com/talks/cfmeetupsecurity.pdf
بث الفيديو: http://experts.adobeconnect.com/p22718297
Cfqueryparam مهم للغاية ، ولكن ليس كافيا تقريبا.
هناك حل محاصر نستخدمه في عملي: http://foundeo.com/security/. ويغطي معظم القواعد. وحتى إذا كنت لا ترغب في شرائه ، فيمكنك إلقاء نظرة على مجموعة الميزات والحصول على فكرة عن الأشياء التي يجب أن تفكر فيها.
