ColdFusion Sicurezza [chiusa]
https://stackoverflow.com/questions/2472211
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Quali sono le migliori pratiche per la protezione di una pagina web ColdFusion da utenti malintenzionati? (Compresi, ma non limitatamente a, attacchi di SQL injection)
È cfqueryparam abbastanza?
Soluzione
Io uso una saracinesca modificati, e filtrare tutti gli ambiti var in entrata (URL, la forma, cookie) onRequestStart. http://portcullis.riaforge.org/
Altri suggerimenti
Pete Freitag ha un blog eccezionale, soprattutto questo post su Tempra ColdFusion
Direi che le migliori pratiche per ColdFusion sono simili a quelli per le applicazioni web di programmazione in tutte le lingue.
Di recente ho letto Essential PHP Security Chris Shiflett e la maggior parte delle questioni discusse influisce ColdFusion e, anche se la sintassi per trattare con loro potrebbe essere leggermente diverso. Mi aspetto che ci sono altri (forse meglio) lingua libri agnostici che contengono dei principi che possono essere facilmente modificati per l'utilizzo in ColdFusion.
Sebbene l'utilizzo di una soluzione precompilati funzionerà, mi consiglia conoscere tutti i possibili problemi che devono essere protetti. Scopri Hack Proofing ColdFusion a Amazon .
Un altro luogo ideale per conoscere la sicurezza (e tutti i tipi di altri argomenti) è quello di controllare la lista enorme di Charlie Arehart di presentazioni di gruppo utente registrato: http://www.carehart.org/ugtv/
Mai fidarsi del cliente.
Il più ColdFusion specifico "impostare e dimenticare" sta seguendo le linee guida di amministratore del server di indurimento sopra indicati, mantenendo il server up-to-date, e in seguito ColdFusion su Twitter per conoscere eventuali nuove emissioni immediatamente.
Per ragioni di sicurezza app, che è comune in tutte le lingue, è necessario convalidare ogni pezzo di informazione che tocca il server dal client. Le forme sono evidenti sono aree di stretto controllo, ma non dimenticare parametri URL che si potrebbe utilizzare per la gestione dello stato dell'applicazione o del controllo. Qualcosa di simile & startRow = 10 & tag = sicurezza che non è "dovuto" per essere toccato dall'utente è l'input dell'utente. Anche se la vostra applicazione potrebbe non rompere con dati non validi, si potrebbe non sapere come i dati saranno utilizzati in futuro. Convalida potrebbe essere semplice come quella che qualcuno non sta entrando un personaggio 100 lungo nome e non contiene caratteri programmazione o quella che & startRow è sempre un numero. Queste sono le piccole cose che gli sviluppatori di applicazioni a volte saltano perché tutto funziona bene fino a quando si utilizza il software come previsto.
Credo che si può guardare la Sony Playstation l'hacking come esempio. Purtroppo, non si aspettavano che qualcuno incidere il cliente (consolle playstation) e manipolare il software della console PlayStation per hackerare il server. Il server di fiducia del cliente.
Mai fidarsi del cliente.
Ecco alcune informazioni su un buon strumento che può essere usato per prevenire attacchi XSS.
https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project
http://www.petefreitag.com/item/760.cfm
Abbastanza facile da implementare e basati su Java.
Vi consiglio l'ottimo intervento di Justin McLean " Sicurezza e ColdFusion Gestione del rischio ". Esso comprende un caso di studio.
http://cdn.classsoftware.com/talks/CFMeetupSecurity.pdf
Video streaming: http://experts.adobeconnect.com/p22718297
CfQueryParam è molto importante, ma non abbastanza.
C'è una soluzione in scatola che usiamo al mio lavoro: http://foundeo.com/security/ . Esso copre la maggior parte delle basi. E anche se non si desidera acquistare, si può dare un'occhiata al suo set di funzionalità e avere un'idea delle cose che si dovrebbe considerare.
È possibile effettuare il check -
