ColdFusion安全

Question

保护恶意用户的Coldfusion网页的最佳做法是什么？ （包括但不限于sql注入攻击）

是否cfqueryparam够了？

Answer 1

我使用修改过的portcullis，并过滤所有传入的var作用域（URL，FORM，COOKIE）onRequestStart。 http://portcullis.riaforge.org/

Answer 2

Pete Freitag有一个真棒博客，尤其是这个职位上Hardening ColdFusion

Answer 3

我要说的ColdFusion的最佳做法，类似于那些在任何语言编程的Web应用程序。

我最近读的是Essential PHP Security Chris Shiflett和讨论的大多数问题都影响到ColdFusion，尽管处理这些问题的语法可能略有不同。我希望还有其他（可能更好）的语言不可知书，其中包含可以在ColdFusion中轻松修改的原则。

Answer 4

虽然使用预先构建的解决方案将起作用，但我建议您了解必须保护的所有可能问题。请参阅Amazon查看Hack Proofing ColdFusion。

Answer 5

我向你推荐Justin McLean的精彩演讲“ColdFusion Security和 风险管理”。它包括一个案例研究。

PDF演示http://cdn.classsoftware.com/talks/CFMeetupSecurity.pdf

视频流媒体：http://experts.adobeconnect.com/p22718297

Answer 6

永远不要相信客户端。

大多数ColdFusion特定的“set and forget”遵循上面提到的服务器管理员强化准则，使服务器保持最新状态，并在Twitter上关注ColdFusion以便立即了解任何新问题。

对于所有语言通用的应用程序安全性，您应该验证从客户端接触到服务器的每条信息。表单是严格控制的明显区域，但不要忘记您可能用于应用程序状态管理或控制的URL参数。类似于& startRow = 10 & tag =安全不是“假定”要被用户触及的是用户输入。即使您的应用程序可能会使用从不与无效数据分离，您可能不知道将来如何使用这些数据。验证可以像确保某人没有输入长度为100个字符的名字一样简单，并且不包含编程字符或确保startRow始终是一个数字。这些是应用程序开发人员有时会跳过的小事情，因为只要您按预期使用软件，一切都可以正常工作。

我相信你可以看看索尼Playstation黑客作为一个例子。不幸的是，他们不希望有人破解客户端（PlayStation控制台）并操纵PlayStation控制台软件来破解服务器。服务器信任客户端。

永远不要相信客户。

Answer 7

CfQueryParam非常重要，但还远远不够。

我们在工作中使用了盒装解决方案：http://foundeo.com/security/。它涵盖了大部分基地。即使你不想购买它，你可以看看它的功能集，并了解你应该考虑的事情。

Answer 8

你可能要检查 -

http://help.adobe.com/en_US/ColdFusion/10.0/Developing/WSe61e35da8d3185183e145c0d1353e31f559-8000.html

Answer 9

另一个伟大的地方，了解安全性（和各种其他主题）是检查出查理Arehart的海量录音的用户组演讲的列表：http://www.carehart.org/ugtv/

Answer 10

这里是一个可用于防止XSS的好工具的信息。

https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project

http://www.petefreitag.com/item/760.cfm

非常容易实现和基于Java。