4

我们一直未能通过 PCI 扫描,因为 ColdFusion 具有可预测的 CFID。我们得到的确切 FAIL 是“Predictable Cookie Session IDs”。现在 CFTOKEN 不再可预测,因为我已将 CF 配置为使用 UUID 进行 CFTOKEN,但是,CFID 仍然是可预测的,并且不受 CF Admin 中的任何更改的影响。

我真的不知道为什么可预测的 CFID 是一种威胁,但他们希望我们修复它。

我一直无法通过谷歌搜索找到任何关于此事的信息,我真的不知道还能做什么。

有没有其他人处理过这样的事情?有什么建议么?

编辑:这是我的 Application.cfc 文件的样子:

<cfcomponent output="false">

    <cfset this.name="DatabaseOnline">
    <cfset this.sessionManagement=true>
    <cfset this.setDomainCookies=true>
    <cfset this.setClientCookies=true>
    <cfset this.sessionTimeOut=#CreateTimeSpan(0,20,0,0)#>

</cfcomponent>

我的 CF 管理员看起来像这样:http: //i.imgur.com/k9OZH.png

那么如何禁用 CFID?

4

2 回答 2

5

使用 J2EE 会话变量应该可以解决这个问题。

为此,请转到 CF 管理员。服务器设置 --> 内存变量并选中“使用 J2EE 会话变量”复选框。

您可以在此处找到更多信息http://helpx.adobe.com/coldfusion/kb/predictable-cookie-session-ids-reported.html

于 2012-03-30T12:54:14.553 回答
3

向扫描代理解释 CFID 是连续的,但如果没有相应的随机 CFTOKEN cookie 则无效。由于不能仅凭 ID 劫持会话,因此可以减轻扫描失败的原因。他们的自动化测试假设 CFID cookie 自行控制会话,但事实并非如此。我合作过的每个扫描供应商都接受了这一点作为缓解因素,并且在基于 CF 的站点上为我禁用或覆盖了该特定测试。

或者,如果 CF 服务器上的任何站点都没有使用会话变量,您可以完全禁用会话管理,CF 根本不会发出 cookie。如果需要它们,上面对如何管理 CF 会话的解释应该可以帮助您完成。

于 2012-03-30T16:26:29.887 回答