Sécurité ColdFusion [fermé]
https://stackoverflow.com/questions/2472211
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Quelles sont les meilleures pratiques pour sécuriser une page Web coldfusion des utilisateurs malveillants? (Y compris, mais sans s'y limiter, des attaques par injection SQL)
est assez cfqueryparam?
La solution
J'utilise un herses modifié, et filtrer tous les champs var entrants (URL, formulaire, COOKIE) onRequestStart. http://portcullis.riaforge.org/
Autres conseils
Pete Freitag a un blogue impressionnant, surtout ce post sur Durcissement ColdFusion
Je dirais que les meilleures pratiques pour ColdFusion sont similaires à ceux pour les applications Web de programmation dans toutes les langues.
J'ai lu récemment Essential PHP Security Chris Shiflett et la majorité des questions abordées touchent ColdFusion ainsi, bien que la syntaxe pour traiter avec eux peut être légèrement différent. Je pense qu'il ya d'autres (peut-être mieux) langue agnostique livres qui contiennent des principes qui peuvent facilement être modifiés pour une utilisation dans ColdFusion.
Bien que l'utilisation d'une solution préconstruits fonctionnera, je vous recommande de connaître tous les problèmes possibles qui doivent être protégés. Consultez Hack Proofing ColdFusion Amazon .
Un autre grand endroit pour en apprendre davantage sur la sécurité (et toutes sortes d'autres sujets) est de consulter la liste massive des présentations de groupes d'utilisateurs enregistrés Charlie Arehart: http://www.carehart.org/ugtv/
Ne faites jamais confiance au client.
Le plus ColdFusion spécifique « set and forget » suit les lignes directrices de durcissement de l'administrateur du serveur noté ci-dessus, en gardant le serveur mis à jour, et ColdFusion suivant sur Twitter pour en apprendre davantage sur les nouveaux problèmes immédiatement.
Pour la sécurité de l'application, qui est commun dans toutes les langues, vous devez valider chaque élément d'information qui touche votre serveur à partir du client. Les formulaires sont évidents sont des zones de contrôle strict, mais ne pas oublier les paramètres d'URL que vous pouvez utiliser pour des applications de gestion ou de contrôle de l'État. Quelque chose comme & startRow = 10 & tag = sécurité qui ne sont pas « censé » être touché par l'utilisateur entrée utilisateur. Même si votre application peut jamais rompre avec des données non valides, vous savez peut-être pas comment ces données seront utilisées à l'avenir. La validation pourrait être aussi simple que faire en sorte que quelqu'un ne pénètre pas dans un long caractère 100 prénom et ne contient pas de caractères ou de programmation et veiller à ce que startRow est toujours un nombre. Ce sont les petites choses que les développeurs d'applications sauter parfois parce que tout fonctionne bien aussi longtemps que vous utilisez le logiciel comme prévu.
Je crois que vous pouvez regarder la Playstation Sony le piratage comme un exemple. Malheureusement, ils ne s'y attendaient pas quelqu'un à pirater le client (console playstation) et manipuler le logiciel de la console PlayStation pour pirater le serveur. Le serveur de confiance du client.
Ne faites jamais confiance au client.
Voici des informations sur un bon outil qui peut être utilisé pour empêcher XSS.
https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project
http://www.petefreitag.com/item/760.cfm
Assez facile à mettre en œuvre et Java.
Je vous recommande l'excellent entretien par Justin McLean « Sécurité ColdFusion et Gestion des risques ». Il comprend une étude de cas.
Présentation PDF http://cdn.classsoftware.com/talks/CFMeetupSecurity.pdf
streaming vidéo: http://experts.adobeconnect.com/p22718297
CFQUERYPARAM est très important, mais pas suffisant.
Il y a une solution boxed que nous utilisons à mon travail: http://foundeo.com/security/ . Il couvre la plupart des bases. Et même si vous ne voulez pas l'acheter, vous pouvez jeter un coup d'oeil de jeu de fonctionnalités et d'obtenir une idée des choses que vous devriez considérer.
Vous pouvez vous vérifier -
