4

ColdFusionには予測可能なCFIDがあるため、PCIスキャンに失敗しています。取得する正確なFAILは、「予測可能なCookieセッションID」です。CFTOKENにUUIDを使用するようにCFを構成したため、CFTOKENは予測できなくなりましたが、CFIDは予測可能であり、CFAdminの変更による影響を受けません。

CFIDが予測可能であることが脅威である理由はよくわかりませんが、彼らは私たちにそれを修正してほしいと望んでいます。

私はグーゲルでこの問題について何も見つけることができず、他に何をすべきか本当にわかりません。

他の誰かがこのようなことを扱ったことがありますか?助言がありますか?

編集:これが私のApplication.cfcファイルがどのように見えるかです:

<cfcomponent output="false">

    <cfset this.name="DatabaseOnline">
    <cfset this.sessionManagement=true>
    <cfset this.setDomainCookies=true>
    <cfset this.setClientCookies=true>
    <cfset this.sessionTimeOut=#CreateTimeSpan(0,20,0,0)#>

</cfcomponent>

そして私のCF管理者は次のようになります:http://i.imgur.com/k9OZH.png

では、どうすればCFIDを無効にできますか?

4

2 に答える 2

5

J2EEセッション変数を使用すると、その問題に対処できます。

これを行うには、CFAdministratorに移動します。[サーバー設定]->[メモリ変数]を選択し、[J2EEセッション変数を使用する]チェックボックスをオンにします。

詳細については、 http://helpx.adobe.com/coldfusion/kb/predictable-cookie-session-ids-reported.htmlをご覧ください。

于 2012-03-30T12:54:14.553 に答える
3

CFIDはシーケンシャルですが、ランダム化された対応するCFTOKENCookieがないと有効ではないことをスキャンエージェントに説明します。IDだけではセッションを乗っ取ることができないため、スキャンが失敗する理由が軽減されます。彼らの自動テストは、CFID Cookieがそれ自体でセッションを制御することを前提としていますが、そうではありません。私が協力してきたすべてのスキャンベンダーは、これを軽減要因として受け入れており、CFベースのサイトでの特定のテストを無効にするかオーバーライドしました。

または、CFサーバー上のどのサイトもセッション変数を使用していない場合は、セッション管理を完全に無効にすることができ、CFはCookieをまったく発行しません。それらが必要な場合は、CFセッションの管理方法に関する上記の説明を理解してください。

于 2012-03-30T16:26:29.887 に答える