ColdFusion セキュリティ [終了]
-
20-09-2019 - |
質問
ColdFusion Web ページを悪意のあるユーザーから保護するためのベスト プラクティスは何ですか?(SQL インジェクション攻撃を含みますが、これに限定されません)
cfqueryparam で十分ですか?
解決
私は修正ポートカリスを使用し、すべての着信のvarスコープ(URL、FORM、COOKIE)onRequestStartメソッドをフィルタリングします。 http://portcullis.riaforge.org/する
他のヒント
ピート・フライターグ 素晴らしいブログがあります、特にこの投稿は ColdFusion の強化
私は、ColdFusionのためのベストプラクティスは、任意の言語でのプログラミングWebアプリケーションのためのものと類似していると言うでしょう。
私は最近読ん<のhref = "http://www.amazon.co.uk/Essential-PHP-Security-Chris-Shiflett/dp/059600656X/ref=sr_1_1?ie=UTF8&s=books&qid=1269019520&sr=1 -1" のrel = 『nofollowをnoreferrer』>エッセンシャルPHPのセキュリティは、クリス・シフレットとそれらに対処するための構文は若干異なるかもしれませんが議論された問題の大半は、同様のColdFusionに影響を与えます。私は簡単にColdFusionで使用するために変更することができ原則を含む他の(おそらくより良い)、言語に依存しない本があります期待しています。
は動作します構築済みのソリューションを使用してますが、私は保護されなければならないすべての可能な問題を知っているお勧めします。 アマゾンのでハックプルーフColdFusionをチェックします。
セキュリティについて学ぶためにもう一つの大きな場所(および他のトピックのすべての種類)が記録されたユーザグループ発表のチャーリーArehartの巨大なリストをチェックアウトすることです:<のhref =「http://www.carehart.org/ugtv/」 rel = "nofollowを"> http://www.carehart.org/ugtv/ の
クライアントを信用してはいけません。
ほとんどのColdFusionの特定「に設定し、忘れて」、上記のサーバ管理者硬化ガイドラインを以下の最新のTwitterで、そして次のColdFusionは、直ちに新たな問題について学ぶためにサーバーを保っています。
すべての言語に共通であるアプリケーションのセキュリティについて、あなたはクライアントからサーバーに触れるあらゆる情報を検証する必要があります。フォームは、厳格な管理の明らかな領域ですされていますが、アプリケーションの状態管理や制御のために使用することがありますURLパラメータを忘れないでください。 「はず」されていない&startRow属性= 10&タグのようなもの=セキュリティはユーザがタッチされるはのユーザーの入力です。でも、アプリケーションが無効なデータを持つのことはありませんのブレークができれば、あなたはそのデータは、将来的に使用する方法を知らないかもしれません。検証は、誰かが100文字長の最初の名前を入力されていないとプログラミングの文字が含まれていないか、またはを保証&startRow属性は常に数であることを保証するような単純なものでした。これらはすべてがOK限り、あなたが期待通りにソフトウェアを使用しているとして動作するため、アプリケーション開発者が時々スキップすることをささいなことです。
私はあなたがソニーのプレイステーションは、一例として、ハッキングを見ることができると信じて。残念ながら、彼らは誰かが、クライアント(プレイステーションコンソール)をハックし、サーバーをハックするプレイステーションコンソールソフトウェアを操作するために期待していませんでした。サーバはクライアントを信頼できます。
クライアントを信用しないでください。
ここでXSSを防ぐために使用することができる優れたツールについての情報があります。
https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project >
http://www.petefreitag.com/item/760.cfmする
ベースかなり実装が容易とJavaます。
私はジャスティン・マクリーンであなたに優秀な話をお勧めします「の ColdFusionのセキュリティと リスクマネジメントは、の」。これは、ケーススタディが含まれます。
PDFプレゼンテーション http://cdn.classsoftware.com/talks/CFMeetupSecurity.pdf
ビデオストリーミング: http://experts.adobeconnect.com/p22718297する
CFQUERYPARAMは非常に重要な、しかし、ほぼ十分ではありません。
私たちは私の仕事で使用箱入りのソリューションがあります: http://foundeo.com/security/する 。これは、拠点のほとんどをカバーしています。あなたはそれを購入したくない場合でも、そして、あなたはそれの機能セットを見て、あなたが考慮しなければならないもののアイデアを得ることができます。