ColdFusion安全

Question

保護惡意用戶的Coldfusion網頁的最佳做法是什麼？ （包括但不限於sql注入攻擊）

是否cfqueryparam夠了？

Answer 1

我使用修改過的portcullis，並過濾所有傳入的var作用域（URL，FORM，COOKIE）onRequestStart。 http://portcullis.riaforge.org/

Answer 2

Pete Freitag有一個真棒博客，尤其是這個職位上Hardening ColdFusion

Answer 3

我要說的ColdFusion的最佳做法，類似於那些在任何語言編程的Web應用程序。

我最近讀的是Essential PHP Security Chris Shiflett和討論的大多數問題都影響到ColdFusion，儘管處理這些問題的語法可能略有不同。我希望還有其他（可能更好）的語言不可知書，其中包含可以在ColdFusion中輕鬆修改的原則。

Answer 4

雖然使用預先構建的解決方案將起作用，但我建議您瞭解必須保護的所有可能問題。請參閱Amazon查看Hack Proofing ColdFusion。

Answer 5

我向你推薦Justin McLean的精彩演講「ColdFusion Security和 風險管理」。它包括一個案例研究。

PDF演示http://cdn.classsoftware.com/talks/CFMeetupSecurity.pdf

視頻流媒體：http://experts.adobeconnect.com/p22718297

Answer 6

永遠不要相信客戶端。

大多數ColdFusion特定的「set and forget」遵循上面提到的服務器管理員強化準則，使服務器保持最新狀態，並在Twitter上關注ColdFusion以便立即瞭解任何新問題。

對於所有語言通用的應用程序安全性，您應該驗證從客戶端接觸到服務器的每條信息。表單是嚴格控制的明顯區域，但不要忘記您可能用於應用程序狀態管理或控制的URL參數。類似於& startRow = 10 & tag =安全不是「假定」要被用戶觸及的是用戶輸入。即使您的應用程序可能會使用從不與無效數據分離，您可能不知道將來如何使用這些數據。驗證可以像確保某人沒有輸入長度爲100個字符的名字一樣簡單，並且不包含編程字符或確保startRow始終是一個數字。這些是應用程序開發人員有時會跳過的小事情，因爲只要您按預期使用軟件，一切都可以正常工作。

我相信你可以看看索尼Playstation黑客作爲一個例子。不幸的是，他們不希望有人破解客戶端（PlayStation控制檯）並操縱PlayStation控制檯軟件來破解服務器。服務器信任客戶端。

永遠不要相信客戶。

Answer 7

CfQueryParam非常重要，但還遠遠不夠。

我們在工作中使用了盒裝解決方案：http://foundeo.com/security/。它涵蓋了大部分基地。即使你不想購買它，你可以看看它的功能集，並瞭解你應該考慮的事情。

Answer 8

你可能要檢查 -

http://help.adobe.com/en_US/ColdFusion/10.0/Developing/WSe61e35da8d3185183e145c0d1353e31f559-8000.html

Answer 9

另一個偉大的地方，瞭解安全性（和各種其他主題）是檢查出查理Arehart的海量錄音的用戶組演講的列表：http://www.carehart.org/ugtv/

Answer 10

這裏是一個可用於防止XSS的好工具的信息。

https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project

http://www.petefreitag.com/item/760.cfm

非常容易實現和基於Java。