Безопасность Coldfusion [закрыто
https://stackoverflow.com/questions/2472211
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Каковы лучшие практики для обеспечения веб -страницы Coldfusion от вредоносных пользователей? (включая, помимо прочего, атаки инъекций SQL)
Достаточно ли cfqueryparam?
Решение
Я использую модифицированные Portcullis и фильтрую все входящие варные области (URL, форма, cookie) onrequeststart.http://portcullis.riaforge.org/
Другие советы
Пит Фрейтаг имеет потрясающий блог, особенно этот пост на Упространение холодного
Я бы сказал, что лучшие практики для ColdFusion аналогичны программам веб -приложений на любом языке.
Я недавно прочитал Основная безопасность PHP Крис Шифлетт и большинство обсуждаемых вопросов также влияют и на холод, хотя синтаксис для борьбы с ними может быть немного другим. Я ожидаю, что есть и другие (возможно, лучше) языковые агностические книги, которые содержат принципы, которые могут быть легко изменены для использования в холодном плане.
Несмотря на то, что использование предварительно построенного решения будет работать, я рекомендую узнать все возможные проблемы, которые должны быть защищены. Проверьте хакерскую проверку Coldfusion на Амазонка.
Еще одно отличное место, чтобы узнать о безопасности (и все виды других тем) - проверить массовый список записанных групп пользователей Чарли Арехарта: http://www.carehart.org/ugtv/
Никогда не доверяйте клиенту.
Наиболее специфическим для холодного эфира «Set and Forge» следует следуя рекомендациям администратора сервера, отмеченным выше, поддержание современного сервера и следование ColdFusion в Twitter, чтобы немедленно узнать о любых новых выпусках.
Для безопасности приложений, которая распространена на всех языках, вы должны проверять каждую часть информации, которая затрагивает ваш сервер от клиента. Формы являются очевидными областями жесткого контроля, но не забывайте о параметрах URL, которые вы можете использовать для управления или управления состоянием приложения. Что -то вроде & startrow = 10 & Tag = безопасность, которая не должна быть затронута пользователем является Пользовательский ввод. Даже если ваше заявление может никогда Перерыв с неверными данными, вы можете не знать, как эти данные будут использоваться в будущем. Валидация может быть такой же простой, как и убедиться, что кто -то не вводит 100 символов, не содержит символов программирования, или гарантировать, что и Startrow всегда является номером. Это мелочи, которые разработчики приложений иногда пропускают, потому что все работает нормально, если вы используете программное обеспечение, как и ожидалось.
Я считаю, что вы можете взглянуть на взломать Sony PlayStation в качестве примера. К сожалению, они не ожидали, что кто -то взломает клиента (консоль PlayStation) и манипулирует программным обеспечением Console PlayStation, чтобы взломать сервер. Сервер доверял клиенту.
Никогда не доверяйте клиенту.
Вот информация о хорошем инструменте, который можно использовать для предотвращения XSS.
https://www.owasp.org/index.php/category:owasp_antisamy_project
http://www.petefreitag.com/item/760.cfm
Довольно легко внедрить и на основе Java.
Я рекомендую вам отличный разговор Джастина Маклина "Безопасность Coldfusion и управление рисками". Он включает в себя пример.
PDF -презентация http://cdn.classsoftware.com/talks/cfmeetupsecurity.pdf
Видео трансляция: http://experts.adobeconnect.com/p22718297
Cfqueryparam очень важен, но недостаточно.
Есть швабтурное решение, которое мы используем на моей работе: http://foundeo.com/security/. Анкет Он покрывает большинство оснований. И даже если вы не хотите покупать его, вы можете взглянуть на его набор функций и получить представление о том, что вы должны рассматривать.
