Защита ColdFusion для интернет-сервера

ОБНОВЛЕНИЕ 30 мая 2010 г.:

Adobe только что выпустила Руководство по блокировке ColdFusion 9 (PDF), которое включает в себя все виды информации для правильной блокировки и защиты сервера и приложения ColdFusion.

Исходное сообщение:

Если на сервере будут работать только ваши собственные приложения, начните с блокировки выбранного вами веб-сервера. Предложения Милнера о том, чтобы поместить обработчик ошибок для всего сайта, чтобы перехватить любые ожидания, - хороший способ предотвратить раскрытие данных. Вы можете запустить отладку в производственной среде, если выходные данные ограничены указанными вами IP-адресами. Что касается папки CFIDE, единственная часть, которая действительно должна быть заблокирована, это подпапка "администратор". В папке CFIDE есть много вещей, которые могут понадобиться вашему приложению, если вы используете какой-либо элемент управления формы ColdFusion.

Помимо самого сервера ColdFusion, в вашем коде нужно учитывать множество вещей, таких как:

1. Используйте CFQUERYPARAM по вашим запросам.
2. Не доверяйте пользовательскому вводу из областей CGI, COOKIE, URL или FORM. Всегда дезинфицируйте вход и не рискуйте с ним.
3. Для данных, введенных пользователями, которые будут отображаться в слое, убедитесь, что он обернут функциями HTMLEditFormat() или JSStringFormat(), так как в этом случае требуется представлять атаки межсайтового скриптинга.

Это может быть очевидно, но если сервер подключен к Интернету (напрямую доступен по общедоступному IP-адресу), вам определенно нужен какой-то брандмауэр - по крайней мере, программный брандмауэр в вашей ОС или аппаратное устройство для защиты сервера.

Попробуйте www.hackmycf.com, это инструмент анализа безопасности, созданный Foundeo, и он работает довольно хорошо!