ColdFusion 安全 [关闭]
-
20-09-2019 - |
题
保护 Coldfusion 网页免受恶意用户侵害的最佳实践是什么?(包括但不限于sql注入攻击)
cfqueryparam 够用吗?
解决方案
我使用修改吊闸,并过滤所有传入的变种范围(URL,FORM,COOKIE)onRequestStart。 http://portcullis.riaforge.org/
其他提示
皮特·弗莱塔格 有一个很棒的博客,尤其是这篇文章 硬化 ColdFusion
我想说 ColdFusion 的最佳实践与使用任何语言编写 Web 应用程序的最佳实践类似。
我最近读过 PHP 基本安全 Chris Shiflett 和讨论的大多数问题也会影响 ColdFusion,尽管处理它们的语法可能略有不同。我希望还有其他(可能更好)与语言无关的书籍,其中包含可以轻松更改以在 ColdFusion 中使用的原则。
虽然使用预建的解决方案将工作,我建议知道所有必须受到保护可能存在的问题。检查出哈克校对的ColdFusion在亚马逊。
了解安全性(和各种其他主题)另一个伟大的地方是检查出查理Arehart的海量录音的用户组演讲的列表:的 http://www.carehart.org/ugtv/
从不信任客户端。
最ColdFusion的具体“一劳永逸”是继上述服务器管理员硬化方针,紧跟最新,并在Twitter上下面的ColdFusion立即了解任何新问题的服务器。
有关应用程序的安全性,这在所有语言是共同的,你应该确认的每一条信息,从客户端触动你的服务器。形式是有严格控制的领域明显,但不要忘了,你可能会使用应用程序状态管理或控制的URL参数。类似&STARTROW = 10&标签=安全未“应该”被用户触摸的是的用户输入。即使你的应用程序可能的从不的无效数据打破,你可能不知道如何将数据会在将来被使用。验证可为确保某人没有进入100个字符长的名字,不包含编程字符或保证&STARTROW始终是一个号码一样简单。这些都是小事情,应用程序开发人员有时会忽略,因为一切正常,只要您使用预期的软件确定。
我相信你可以看看索尼的Playstation黑客作为一个例子。不幸的是,他们没想到有人破解客户端(PlayStation游戏机)和操纵PlayStation游戏机软件破解服务器。服务器信任的客户端。
从不信任客户端。
下面是一个良好的工具,可以用来防止XSS信息。
https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project
http://www.petefreitag.com/item/760.cfm
相当容易实现,并且基于Java。
我建议你由Justin麦克莱恩优秀的谈话“ ColdFusion的安全性和 风险管理强>”。它包括为例。
PDF呈现 http://cdn.classsoftware.com/talks/CFMeetupSecurity.pdf
CfQueryParam是非常重要的,但还远远不够。
有就是我们在我的工作用盒装的解决方案: http://foundeo.com/security/ 。它涵盖了大部分基地。而且,即使你不想买的话,你可以看看它的功能集,并得到你应该考虑的事情的想法。