保护冷融合网页免受恶意用户攻击的最佳实践是什么?(包括但不限于sql注入攻击)
cfqueryparam 足够了吗?
问问题
1521 次
10 回答
11
我使用修改后的闸门,并在RequestStart 上过滤所有传入的var 范围(URL、FORM、COOKIE)。 http://portcullis.riaforge.org/
于 2010-03-18T18:06:20.497 回答
8
Pete Freitag有一个很棒的博客,尤其是关于Hardening ColdFusion的这篇文章
于 2010-03-18T22:45:49.047 回答
1
我想说 ColdFusion 的最佳实践类似于用任何语言编写 Web 应用程序的最佳实践。
我最近阅读了Essential PHP Security Chris Shiflett,其中讨论的大多数问题也影响了 ColdFusion,尽管处理它们的语法可能略有不同。我希望还有其他(可能更好)与语言无关的书籍,其中包含可以轻松更改以在 ColdFusion 中使用的原则。
于 2010-03-19T22:29:29.317 回答
1
虽然使用预构建的解决方案会起作用,但我建议了解所有必须保护的可能问题。查看亚马逊的 Hack Proofing ColdFusion 。
于 2011-09-07T15:14:03.477 回答
1
永远不要相信客户。
ColdFusion 最具体的“设置并忘记”是遵循上面提到的服务器管理员强化指南,保持服务器最新,并在 Twitter 上关注 ColdFusion 以立即了解任何新问题。
对于所有语言通用的应用程序安全性,您应该验证从客户端触及服务器的每条信息。表单显然是严格控制的领域,但不要忘记可能用于应用程序状态管理或控制的 URL 参数。&startRow=10&tag=security 之类的东西“不应该”被用户触摸是用户输入。即使您的应用程序永远无法打破无效数据,您可能不知道将来如何使用该数据。验证可以简单到确保某人没有输入 100 个字符长的名字并且不包含编程字符或确保 &startRow 始终是一个数字。这些是应用程序开发人员有时会跳过的小事情,因为只要您按预期使用软件,一切正常。
我相信您可以将 Sony Playstation 黑客行为作为一个例子。不幸的是,他们没想到有人会破解客户端(playstation 控制台)并操纵 PlayStation 控制台软件来破解服务器。服务器信任客户端。
永远不要相信客户。
于 2012-01-18T15:10:44.027 回答
1
另一个了解安全性(以及各种其他主题)的好地方是查看 Charlie Arehart 记录的大量用户组演示列表:http: //www.carehart.org/ugtv/
于 2012-08-22T14:44:33.083 回答
1
以下是有关可用于防止 XSS 的好工具的信息。
https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project
http://www.petefreitag.com/item/760.cfm
相当容易实现和基于Java。
于 2012-10-11T13:48:29.303 回答
0
我向您推荐 Justin McLean 的精彩演讲“ ColdFusion 安全和风险管理”。它包括一个案例研究。
PDF 演示文稿http://cdn.classsoftware.com/talks/CFMeetupSecurity.pdf
于 2011-09-15T01:50:31.953 回答
0
CfQueryParam 非常重要,但还远远不够。
我们在工作中使用了一个盒装解决方案:http: //foundeo.com/security/。它涵盖了大部分基础。即使您不想购买它,您也可以查看它的功能集并了解您应该考虑的事项。
于 2012-02-01T14:40:12.083 回答
0
于 2012-08-09T11:43:01.737 回答