我继承了一个使用ColdFusion 9.0.2的网站。扫描仪会报告可预测的Cookie会话ID。对此的修复应该是检查“使用UUID for cftoken”。这已经被检查过,但它仍然是一个问题。有没有人遇到过这个?有谁知道如何在CFADMIN或CF代码中解决这个问题?ColdFusion 9,会话ID可预测性
回答
您的扫描仪抱怨的内容很可能是CFID,而不是CFTOKEN。
我的建议是设置会话管理使用JSESSIONID。
http://help.adobe.com/en_US/ColdFusion/9.0/Developing/WSc3ff6d0ea77859461172e0811cbec22c24-7c48.html
作为额外的奖励,你可以在使用JSESSIONID序列化会话数据。这对您而言可能并不重要,但您的基本问题应该通过在ColdFusion管理器中切换到J2EE会话来解决。
您可能还想考虑转移到ColdFusion 10或Railo以利用HTTPOnly Cookie(使用Javascript无法读取),使用cookie上的安全标志和登录后使用SessionRotate()来防止会话固定。
http://www.adobe.com/devnet/coldfusion/articles/security-improvements.html
皮特·弗赖塔格的博客提醒我,CF 9.01及更高版本,可以设置用java参数传递给使用中HTTPOnly会话cookie标记,也可以使用setClientCookies =假。作为@Henry指出的那样,你需要做的的事情之一摆脱CFID和CFTOKEN创造的:
可能无法正常工作,请参阅http://stackoverflow.com/a/9943396/35634 – Henry
在Application.cfc设置中,使用setClientCookies ='no'来防止设置CFID和CFToken。 –
- 1. 如何使用PHP创建不可预测的Cookie会话ID
- 2. 预登录会话ID?
- 3. Coldfusion会话Cookie
- 4. 在Coldfusion中启动会话并分配唯一的会话ID
- 5. Coldfusion中的会话
- 6. ColdFusion和.Net会话
- 7. Coldfusion会话变量
- 8. coldfusion会话刷新
- 9. ColdFusion会话问题
- 10. Coldfusion会话超时
- 11. 通过ColdFusion在ajax中传递会话变量9
- 12. 会话复制ColdFusion 9仍然没有推荐?
- 13. Coldfusion 9决定使用的所有会话范围内存
- 14. Coldfusion启用J2EE会话变量与Coldfusion会话变量
- 15. 的ColdFusion-9 “includeEmptyValues”
- 16. Coldfusion 9 serializeJSON()
- 17. Coldfusion 9问题
- 18. ColdFusion会话超时太早
- 19. Flex 3/ColdFusion会话问题?
- 20. 单元测试HttpSessionRequiredException:预期会话属性
- 21. Coldfusion 9 - respool邮件
- 22. Coldfusion 9 webservice错误
- 23. 预测的ID在PHP中不可预测的短字符串
- 24. lm预测不会预测
- 25. 元素会话ID是不确定的ColdFusion的
- 26. 使用coldfusion会话ID进行SSO身份验证
- 27. SoapUI测试:删除会话ID引号
- 28. 是否可以将ColdFusion 9与ColdFusion 11一起运行?
- 29. 单元测试:干与可预测性
- 30. 错误:预期会话属性“形式”
[阅读查理Arehart这个博客帖子(HTTP://www.carehart。 org/blog/client/index.cfm/2013/7/10/uuid_for_cftoken_does_not_block_simple_cftokens) –
我将为此网站使用J2EE会话。感谢所有的反馈。 – Joe