ColdFusion Seguridad [cerrada]
https://stackoverflow.com/questions/2472211
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Cuáles son las mejores prácticas para asegurar una página web de ColdFusion usuarios maliciosos? (Incluyendo, pero no limitado a, los ataques de inyección SQL)
Es cfqueryparam suficiente?
Solución
Puedo usar un rastrillo modificados, y filtrar todos los ámbitos var entrantes (URL, la forma, cookie) onRequestStart. http://portcullis.riaforge.org/
Otros consejos
Pete Freitag tiene un blog de impresionante, sobre todo en este post Endurecimiento ColdFusion
Yo diría que las mejores prácticas para ColdFusion son similares a los de programación de aplicaciones web en cualquier idioma.
Hace poco leí Seguridad esencial PHP Chris Shiflett y la mayoría de los temas tratados afecta ColdFusion también, aunque la sintaxis para tratar con ellos puede ser ligeramente diferente. Espero que existen otros (posiblemente mejor) los libros de lenguaje agnóstico que contienen principios que puedan alterarse fácilmente para su uso en ColdFusion.
A pesar de que el uso de una solución de pre-compilados va a funcionar, recomiendo conocer todas las posibles cuestiones que deben ser protegidos. Salida Hack Proofing ColdFusion en Amazon .
Otro gran lugar para aprender sobre la seguridad (y todo tipo de otros temas) es de revisar la lista masiva de Charlie Arehart de presentaciones de grupos de usuarios registrados: http://www.carehart.org/ugtv/
Nunca confiar en el cliente.
La mayor parte de ColdFusion específica "configurar y olvidarse" está siguiendo directrices de endurecimiento de administrador del servidor ha señalado anteriormente, manteniendo el servidor hasta a la fecha, y después de ColdFusion en twitter para aprender acerca de las nuevas emisiones de inmediato.
Para la seguridad de aplicaciones, que es común en todos los idiomas, debe validar cada pieza de información que afecta a su servidor desde el cliente. Formas son obvias son las zonas de control estricto, pero no se olvide de parámetros de URL que puede utilizar para la gestión de estado de la aplicación o control. Algo así como startRow Y = 10 Y = etiqueta de seguridad que no se "supone" que ser tocado por el usuario es entrada del usuario. Incluso si su aplicación podría no romper con datos no válidos, usted puede no saber cómo se utilizará esos datos en el futuro. La validación podría ser tan simple como asegurarse de que alguien no está entrando en un largo nombre de 100 caracteres y no contiene caracteres de programación o asegurar que startRow y siempre es un número. Estas son las pequeñas cosas que los desarrolladores de aplicaciones a veces se saltan porque todo funciona bien, siempre y cuando se utilice el software como se esperaba.
Creo que se puede ver en la Sony Playstation piratería como un ejemplo. Por desgracia, no esperaban que alguien hackear el cliente (consola PlayStation) y manipular el software de la consola PlayStation de hackear el servidor. El servidor de confianza del cliente.
Nunca confiar en el cliente.
Aquí hay información sobre una buena herramienta que puede ser usada para evitar XSS.
https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project
http://www.petefreitag.com/item/760.cfm
bastante fácil de implementar y basado en Java.
Te recomiendo el excelente charla por Justin McLean " Seguridad y ColdFusion Gestión de riesgos ". Incluye un estudio de caso.
http://cdn.classsoftware.com/talks/CFMeetupSecurity.pdf
Vídeo en tiempo real: http://experts.adobeconnect.com/p22718297
cfqueryparam es muy importante, pero no lo suficiente.
Hay una solución en caja que utilizamos en mi trabajo: http://foundeo.com/security/ . Cubre la mayor parte de las bases. E incluso si usted no quiere comprar, puede echar un vistazo a él es el conjunto de características y tener una idea de las cosas que usted debe considerar.
Es posible que quiera comprobar -
