我继承了一个冷融合应用程序。代码很旧(想想阿莱尔时代),我一直在慢慢升级它。最近,我们经历了渗透测试,但在许多领域都失败了。我现在的重点是登录功能,特别是如何存储和使用 cookie。我们最近在 Windows 上升级到 CF 2018。
该网站目前只能通过 RDS 访问,但在不久的将来将通过通用网络提供。
目前,代码在登录时设置了一个“rememberme”cookie,如下所示,使用了一堆混淆。我认为这是从 Ben Nadel 的例子中借来的:https ://www.bennadel.com/blog/1213-creating-a-remember-me-login-system-in-coldfusion.htm
<cfset strRememberMe = (
CreateUUID() & ":" &
SESSION.User.ID & ":" &
SESSION.User.Name & ":" &
SESSION.User.Billing & ":" &
SESSION.User.Admin & ":" &
SESSION.User.Reversals & ":" &
CreateUUID()
) />
<cfset strRememberMe = Encrypt(
strRememberMe,
APPLICATION.EncryptionKey,
"cfmx_compat",
"hex"
) />
<cfcookie
name="RememberMe"
value="#strRememberMe#"
expires="never"
httponly="true" <!--- Set in CFAdmin so not reqd here --->
/>
此 cookie 中包含多个用户权限,将用户标记为能够访问网站的某些部分和/或执行某些功能。
我想将任何不必要的数据完全保留在 cookie 之外,也许只保留用户 ID。可能在 application.cfc onRequest() 方法中进行检查,以检查 cookie 并查询数据库,然后设置与用户权限相关的会话变量。目前,application.cfc onSessionStart() 从 cookie 中解析出用户权限以创建会话范围的变量。我看到在 cookie 中只有原始用户 ID 的问题是用户 ID 很容易被猜到,因此可能仍然需要某种类型的混淆或加密。
我从阅读中意识到 cfmx_compat 提供了弱加密。
我追求最干净、最有效的方法来保护 cookie 免受任何类型的第三方或 MITM 滥用/攻击,并在应用程序中使用它。我已经阅读了互联网上有关此的所有内容,人们正在做并提出不同的建议。我的大脑现在充满了想法。我不想花哨,只想有效。
该站点目前没有 SSL 或 TLS,但很快就会实施,这应该有助于安全方面的问题。