悪意のあるユーザーから Coldfusion Web ページを保護するためのベスト プラクティスは何ですか? (SQL インジェクション攻撃を含むがこれに限定されない)
cfqueryparam で十分ですか?
1521 次
10 に答える
11
変更された落とし格子を使用し、すべての着信varスコープ(URL、FORM、COOKIE)をonRequestStartでフィルタリングします。 http://portcullis.riaforge.org/
于 2010-03-18T18:06:20.497 に答える
8
Pete Freitagのすばらしいブログ、特にHardening ColdFusionに関するこの投稿
于 2010-03-18T22:45:49.047 に答える
1
事前に構築されたソリューションを使用しても問題はありませんが、保護する必要がある可能性のある問題をすべて把握することをお勧めします。Amazonでハック防止 ColdFusion をチェックしてください。
于 2011-09-07T15:14:03.477 に答える
1
セキュリティ (およびその他のあらゆる種類のトピック) について学ぶためのもう 1 つの優れた場所は、Charlie Arehart の記録されたユーザー グループ プレゼンテーションの膨大なリストをチェックすることです: http://www.carehart.org/ugtv/
于 2012-08-22T14:44:33.083 に答える
1
クライアントを決して信用しないでください。
最も ColdFusion 固有の「設定して忘れる」方法は、上記のサーバー管理者強化ガイドラインに従い、サーバーを最新の状態に保ち、Twitter で ColdFusion をフォローして新しい問題についてすぐに知ることです。
すべての言語に共通するアプリのセキュリティについては、クライアントからサーバーにアクセスするすべての情報を検証する必要があります。フォームは厳密に制御される領域であることは明らかですが、アプリケーションの状態管理または制御に使用する可能性がある URL パラメーターについて忘れないでください。&startRow=10&tag=security のような、ユーザーが触れることが「想定されていない」ものは、ユーザー入力です。あなたのアプリケーションが決してできなかったとしても無効なデータで中断すると、そのデータが将来どのように使用されるかがわからない可能性があります。検証は、誰かが 100 文字の長さの名を入力していないこと、プログラミング文字が含まれていないこと、または &startRow が常に数字であることを確認するのと同じくらい簡単です。これらは、ソフトウェアを期待どおりに使用している限りすべてが正常に機能するため、アプリケーション開発者がスキップすることがある小さなことです。
例として、Sony Playstation のハッキングを見ていただけると思います。残念ながら、誰かがクライアント (プレイステーション コンソール) をハッキングし、プレイステーション コンソール ソフトウェアを操作してサーバーをハッキングするとは予想していませんでした。サーバーはクライアントを信頼しました。
クライアントを決して信用しないでください。
于 2012-01-18T15:10:44.027 に答える
1
ここでは、XSS を防止するために使用できる優れたツールに関する情報を示します。
https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project
http://www.petefreitag.com/item/760.cfm
実装がかなり簡単で、Java ベースです。
于 2012-10-11T13:48:29.303 に答える
1
ColdFusion のベスト プラクティスは、あらゆる言語で Web アプリケーションをプログラミングする場合のベスト プラクティスと似ていると言えます。
最近、Essential PHP Security Chris Shiflett を読みました。議論されている問題のほとんどは、ColdFusion にも影響しますが、それらを処理するための構文は若干異なる場合があります。ColdFusion で使用するために簡単に変更できる原則を含む言語にとらわれない他の (おそらくより優れた) 書籍があると思います。
于 2010-03-19T22:29:29.317 に答える
0
CfQueryParam は非常に重要ですが、十分ではありません。
私の職場で使用しているボックス化されたソリューションがあります: http://foundeo.com/security/。ほとんどのベースをカバーしています。また、購入したくない場合でも、その機能セットを見て、考慮すべきことを理解することができます.
于 2012-02-01T14:40:12.083 に答える
0
Justin McLean による優れた講演「ColdFusion Security and Risk Management」をお勧めします。ケーススタディが含まれています。
PDF プレゼンテーションhttp://cdn.classsoftware.com/talks/CFMeetupSecurity.pdf
ビデオストリーミング: http ://experts.adobeconnect.com/p22718297
于 2011-09-15T01:50:31.953 に答える
0
あなたはチェックしたいかもしれません -
于 2012-08-09T11:43:01.737 に答える