回答
我使用修改过的portcullis,并过滤所有传入的var作用域(URL,FORM,COOKIE)onRequestStart。 http://portcullis.riaforge.org/
Pete Freitag有一个真棒博客,尤其是这个职位上Hardening ColdFusion
我要说的ColdFusion的最佳做法,类似于那些在任何语言编程的Web应用程序。
我最近读的是Essential PHP Security Chris Shiflett和讨论的大多数问题都影响到ColdFusion,尽管处理这些问题的语法可能略有不同。我希望还有其他(可能更好)的语言不可知书,其中包含可以在ColdFusion中轻松修改的原则。
虽然使用预先构建的解决方案将起作用,但我建议您了解必须保护的所有可能问题。请参阅Amazon查看Hack Proofing ColdFusion。
我向你推荐Justin McLean的精彩演讲“ColdFusion Security和 风险管理”。它包括一个案例研究。
PDF演示http://cdn.classsoftware.com/talks/CFMeetupSecurity.pdf
永远不要相信客户端。
大多数ColdFusion特定的“set and forget”遵循上面提到的服务器管理员强化准则,使服务器保持最新状态,并在Twitter上关注ColdFusion以便立即了解任何新问题。
对于所有语言通用的应用程序安全性,您应该验证从客户端接触到服务器的每条信息。表单是严格控制的明显区域,但不要忘记您可能用于应用程序状态管理或控制的URL参数。类似于& startRow = 10 & tag =安全不是“假定”要被用户触及的是用户输入。即使您的应用程序可能会使用从不与无效数据分离,您可能不知道将来如何使用这些数据。验证可以像确保某人没有输入长度为100个字符的名字一样简单,并且不包含编程字符或确保startRow始终是一个数字。这些是应用程序开发人员有时会跳过的小事情,因为只要您按预期使用软件,一切都可以正常工作。
我相信你可以看看索尼Playstation黑客作为一个例子。不幸的是,他们不希望有人破解客户端(PlayStation控制台)并操纵PlayStation控制台软件来破解服务器。服务器信任客户端。
永远不要相信客户。
CfQueryParam非常重要,但还远远不够。
我们在工作中使用了盒装解决方案:http://foundeo.com/security/。它涵盖了大部分基地。即使你不想购买它,你可以看看它的功能集,并了解你应该考虑的事情。
另一个伟大的地方,了解安全性(和各种其他主题)是检查出查理Arehart的海量录音的用户组演讲的列表:http://www.carehart.org/ugtv/
这里是一个可用于防止XSS的好工具的信息。
https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project
http://www.petefreitag.com/item/760.cfm
非常容易实现和基于Java。
- 1. WS安全Coldfusion
- 2. ColdFusion的访问安全的Web服务
- 3. 在ColdFusion中读取安全cookie
- 4. ColdFusion和SQL Server数据库安全
- 5. Coldfusion的未来是否安全?
- 6. ColdFusion 2016 - 安全服务不可用
- 7. Coldfusion的安全层次编码风格
- 8. ColdFusion cfinvoke(消息安全 - ClientCredentials =用户名)
- 9. ColdFusion 10 SOLR安装
- 10. 访问远程时,ColdFusion CFC是否非常安全?
- 11. ColdFusion中的线程安全序列号生成器?
- 12. ColdFusion版本9安全的FTP - 无法连接
- 13. ColdFusion安全性通过在Application.onRequestStart中检查ARGUMENTS.TargetPage?
- 14. Coldfusion安全问题...如何隐藏文件目录?
- 15. 使用ColdFusion创建安全的Web服务
- 16. Coldfusion,从SQL注入攻击安全的cfc's
- 17. ColdFusion 11安装不成功
- 18. Lucee/Coldfusion中的全局函数
- 19. 在ColdFusion中定义全局DSN 10
- 20. Coldfusion是否具有“全局”结构
- 21. 我的安全再次安全有多安全?
- 22. 春季安全,方法安全,URL安全
- 23. 用于IIS6或IIS7中ColdFusion 8的Web文件安全最佳实践
- 24. 需要使用或不使用新技术或框架的Coldfusion安全指南
- 25. 使用JRun/ColdFusion设置HTTPS(用于混合HTTPS/HTTP站点)时的安全cookie
- 26. 安全
- 27. 安全
- 28. 安全
- 29. 安全
- 30. 安全++
这是什么没有建设性的?关闭这个线程是不建设性的恕我直言...... #moderatorfailagain 这是一个有效的问题,除非你是一个红宝石brownoser。 – Dawesi 2015-02-02 01:15:11