Security

為面向 Internet 的伺服器保護 ColdFusion

  • December 23, 2011

我需要做什麼來收緊面向 Internet 的應用程序的 ColdFusion 伺服器?唯一特別想到的是將 CFIDE 和 JRunScripts 目錄限制為本地子網。

我可以調整管理員中的設置以使應用程序更安全嗎?

  1. 確保關閉生產環境的調試
  2. 有一個站點範圍的錯誤處理程序來掩蓋任何未處理的錯誤;否則將顯示來自 CF 的醜陋的灰色框錯誤消息,其中可能包含有關您的伺服器設置的資訊

2010 年 5 月 30 日更新:

Adobe 剛剛發布了ColdFusion 9 鎖定指南(PDF),其中包括正確鎖定和保護 ColdFusion 伺服器和應用程序的各種資訊。

原帖:

如果只有您自己的應用程序將在伺服器上執行,請從鎖定您選擇的 Web 伺服器開始。Milner 建議放置一個站點範圍的錯誤處理程序來擷取任何期望,這對於防止數據洩露是一個很好的建議。只要輸出僅限於您指定的特定 IP 地址,您就可以在生產環境中執行調試。至於 CFIDE 文件夾,唯一真正需要鎖定的部分是“管理員”子文件夾。如果您使用任何 ColdFusion 表單控制項,您的應用程序可能需要在 CFIDE 文件夾中有很多東西。

在 ColdFusion 伺服器本身之外,您需要在程式碼中考慮很多事情,例如:

  1. 對您的查詢使用 CFQUERYPARAM。
  2. 不要信任來自 CGI、COOKIE、URL 或 FORM 範圍的使用者輸入。始終清理輸入,不要冒險。
  3. 對於使用者輸入的將顯示層的數據,請確保它使用 HTMLEditFormat() 或 JSStringFormat() 函式進行包裝,以應對跨站點腳本攻擊的情況。

引用自:https://serverfault.com/questions/5057