Coldfusion Security [폐쇄
https://stackoverflow.com/questions/2472211
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
악의적 인 사용자로부터 Coldfusion 웹 페이지를 보호하기위한 모범 사례는 무엇입니까? (SQL 주입 공격 포함하지만 이에 국한되지 않음)
cfqueryparam은 충분합니까?
해결책
수정 된 portcullis를 사용하고 모든 수신 var 스코프 (URL, Form, Cookie) OnRequestStart를 필터링합니다.http://portcullis.riforge.org/
다른 팁
ColdFusion에 대한 모범 사례는 모든 언어로 웹 애플리케이션을 프로그래밍하는 것과 유사하다고 말합니다.
나는 최근에 읽었다 필수 PHP 보안 Chris Shiflett과 논의 된 대부분의 문제는 ColdFusion에도 영향을 미치지 만,이를 다루는 구문은 약간 다를 수 있습니다. 나는 콜드 펜션에 사용하기 위해 쉽게 변경 될 수있는 원칙을 포함하는 다른 (아마도 더 나은) 언어 불가지론 책이있을 것으로 기대합니다.
사전 제작 된 솔루션을 사용하면 작동하지만 보호해야 할 가능한 모든 문제를 아는 것이 좋습니다. Hack Proofing Coldfusion에서 확인하십시오 아마존.
보안에 대해 배울 수있는 또 다른 좋은 곳 (및 모든 종류의 다른 주제)은 Charlie Arehart의 녹음 된 사용자 그룹 프레젠테이션 목록을 확인하는 것입니다. http://www.carehart.org/ugtv/
고객을 신뢰하지 마십시오.
가장 냉담한 "세트 및 잊어 버린"은 위에서 언급 한 서버 관리자 경화 지침을 따르고 서버를 최신 상태로 유지하고 트위터에서 ColdFusion을 따라 새로운 문제에 대해 즉시 배우는 것입니다.
모든 언어에서 공통적 인 앱 보안의 경우 클라이언트에서 서버를 터치하는 모든 정보를 검증해야합니다. 양식은 엄격한 제어 영역이지만 응용 프로그램 상태 관리 또는 제어에 사용할 URL 매개 변수를 잊지 마십시오. & startrow = 10 & tag = 사용자가 만지지 않는 보안과 같은 것 ~이다 사용자 입력. 응용 프로그램이 가능하더라도 절대 유효하지 않은 데이터를 중단하면 미래에 해당 데이터가 어떻게 사용되는지 알 수 없습니다. 유효성 검사는 누군가가 100 캐릭터 긴 이름을 입력하지 않고 프로그래밍 캐릭터를 포함하지 않거나 & Startrow가 항상 숫자인지 확인하는 것만 큼 간단 할 수 있습니다. 예상대로 소프트웨어를 사용하는 한 모든 것이 잘 작동하기 때문에 응용 프로그램 개발자가 때때로 건너 뛰는 작은 것들입니다.
소니 플레이 스테이션 해킹을 예로 볼 수 있다고 생각합니다. 불행히도, 그들은 누군가가 클라이언트 (PlayStation Console)를 해킹하고 PlayStation Console 소프트웨어를 조작하여 서버를 해킹 할 것을 기대하지 않았습니다. 서버는 클라이언트를 신뢰했습니다.
고객을 신뢰하지 마십시오.
다음은 XSS를 예방하는 데 사용할 수있는 좋은 도구에 대한 정보입니다.
https://www.owasp.org/index.php/category:owasp_antisamy_project
http://www.petefreitag.com/item/760.cfm
구현하기 쉽고 Java 기반.
저스틴 맥린 (Justin McLean)의 훌륭한 대화를 추천합니다. "콜드 퓨전 보안 및 위험 관리". 사례 연구가 포함되어 있습니다.
PDF 프레젠테이션 http://cdn.classsoftware.com/talks/cfmeetupsecurity.pdf
CFQueryParam은 매우 중요하지만 거의 충분하지 않습니다.
내 작업에서 사용하는 박스형 솔루션이 있습니다. http://foundeo.com/security/. 대부분의 기지를 다룹니다. 그리고 구매하고 싶지 않더라도 기능 세트를 살펴보고 고려해야 할 사항에 대한 아이디어를 얻을 수 있습니다.
