為面向 Internet 的伺服器保護 ColdFusion

我需要做什麼來收緊面向 Internet 的應用程序的 ColdFusion 伺服器？唯一特別想到的是將 CFIDE 和 JRunScripts 目錄限制為本地子網。

我可以調整管理員中的設置以使應用程序更安全嗎？

1. 確保關閉生產環境的調試
2. 有一個站點範圍的錯誤處理程序來掩蓋任何未處理的錯誤；否則將顯示來自 CF 的醜陋的灰色框錯誤消息，其中可能包含有關您的伺服器設置的資訊

2010 年 5 月 30 日更新：

Adobe 剛剛發布了ColdFusion 9 鎖定指南(PDF)，其中包括正確鎖定和保護 ColdFusion 伺服器和應用程序的各種資訊。

原帖：

如果只有您自己的應用程序將在伺服器上執行，請從鎖定您選擇的 Web 伺服器開始。Milner 建議放置一個站點範圍的錯誤處理程序來擷取任何期望，這對於防止數據洩露是一個很好的建議。只要輸出僅限於您指定的特定 IP 地址，您就可以在生產環境中執行調試。至於 CFIDE 文件夾，唯一真正需要鎖定的部分是“管理員”子文件夾。如果您使用任何 ColdFusion 表單控制項，您的應用程序可能需要在 CFIDE 文件夾中有很多東西。

在 ColdFusion 伺服器本身之外，您需要在程式碼中考慮很多事情，例如：

1. 對您的查詢使用 CFQUERYPARAM。
2. 不要信任來自 CGI、COOKIE、URL 或 FORM 範圍的使用者輸入。始終清理輸入，不要冒險。
3. 對於使用者輸入的將顯示層的數據，請確保它使用 HTMLEditFormat() 或 JSStringFormat() 函式進行包裝，以應對跨站點腳本攻擊的情況。

引用自：https://serverfault.com/questions/5057