Coldfusion Security [geschlossen
https://stackoverflow.com/questions/2472211
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Was sind die besten Praktiken für die Sicherung einer Coldfusion -Webseite von böswilligen Nutzern? (einschließlich, aber nicht beschränkt auf SQL -Injektionsangriffe)
Ist CFQueryparam genug?
Lösung
Ich verwende einen modifizierten Portcullis und filtere alle eingehenden VAR -Bereiche (URL, Form, Cookie) OnRequestStart.http://portcullis.riaforge.org/
Andere Tipps
Pete Freitag Hat einen tollen Blog, besonders diesen Beitrag über Verhärtung von Kälte
Ich würde sagen, Best Practices für Coldfusion ähneln denen für Programmierwebanwendungen in jeder Sprache.
Ich habe kürzlich gelesen Wesentliche PHP -Sicherheit Chris Shiflett und die Mehrheit der diskutierten Probleme beeinflussen auch die Coldfusion, obwohl die Syntax für den Umgang mit ihnen möglicherweise etwas unterschiedlich sein kann. Ich gehe davon aus, dass es andere (möglicherweise bessere) agnostische Bücher gibt, die Prinzipien enthalten, die leicht für die Verwendung in Coldfusion geändert werden können.
Obwohl die Verwendung einer vorgebauten Lösung funktioniert, empfehle ich, alle möglichen Probleme zu kennen, die geschützt werden müssen. Schauen Sie sich Hack Proofing Coldfusion an an Amazonas.
Ein weiterer großartiger Ort, um die Sicherheit (und alle möglichen anderen Themen) zu lernen, besteht darin, Charlie Areharts massive Liste der aufgezeichneten Benutzergruppenpräsentationen zu lesen: http://www.carehart.org/ugtv/
Vertraue dem Kunden niemals.
Die oben angegebene ColdFusion-spezifische "Set and Forg" ist die Befolgung der oben angegebenen Server-Administrator-Härtungsrichtlinien, hält den Server auf dem neuesten Stand und die Verfolgung von ColdFusion auf Twitter, um sofort über neue Probleme zu erfahren.
Für die App -Sicherheit, die in allen Sprachen üblich ist, sollten Sie alle Informationen validieren, die Ihren Server vom Client berühren. Formulare sind offensichtliche Bereiche der strengen Kontrolle, aber vergessen Sie nicht die URL -Parameter, die Sie möglicherweise für die Anwendungsstatusverwaltung oder -steuerung verwenden. So etwas wie & starterw = 10 & Tag = Sicherheit, das nicht "angenommen" vom Benutzer berührt wird ist Benutzereingabe. Auch wenn Ihre Bewerbung könnte noch nie Brechen Sie mit ungültigen Daten, Sie wissen möglicherweise nicht, wie diese Daten in Zukunft verwendet werden. Die Validierung könnte so einfach sein, wie sicherzustellen, dass jemand nicht in einen langen Vornamen von 100 Charakteren eintritt und keine Programmierfiguren enthält oder sicherstellt, dass und Startrow immer eine Nummer ist. Dies sind die kleinen Dinge, die Anwendungsentwickler manchmal überspringen, weil alles in Ordnung funktioniert, solange Sie die Software wie erwartet verwenden.
Ich glaube, Sie können sich das Sony PlayStation Hacking als Beispiel ansehen. Leider haben sie nicht erwartet, dass jemand den Kunden (PlayStation Console) hackt und die PlayStation Console -Software manipuliert, um den Server zu hacken. Der Server vertraute dem Client.
Vertraue dem Kunden niemals.
Hier finden Sie Informationen zu einem guten Tool, mit dem XSS verhindern kann.
https://www.owasp.org/index.php/category:owasp_antisamy_project
http://www.petefreitag.com/item/760.cfm
Ziemlich einfach zu implementieren und auf Java basieren.
Ich empfehle Ihnen das hervorragende Gespräch von Justin McLean.Coldfusion Security und Risikomanagement". Es enthält eine Fallstudie.
PDF -Präsentation http://cdn.classsoftware.com/talks/cfmeetupsecurity.pdf
Video Streaming: http://experts.adobeconnect.com/p22718297
CFQueryparam ist sehr wichtig, aber nicht annähernd genug.
Es gibt eine Box -Lösung, die wir bei meiner Arbeit verwenden: http://foundeo.com/security/. Es deckt die meisten Basen ab. Und selbst wenn Sie es nicht kaufen möchten, können Sie sich das Feature -Set ansehen und sich eine Vorstellung von den Dingen machen, die Sie in Betracht ziehen sollten.
