Защита ColdFusion для интернет-сервера
Что мне нужно сделать, чтобы сжать сервер ColdFusion для интернет-приложений? Единственное, что пришло на ум, - это ограничить каталоги CFIDE и JRunScripts локальной подсетью.
Есть ли в администраторе настройки, которые я могу настроить, чтобы сделать приложения более безопасными?
4 ответа
- Убедитесь, что вы отключили отладку для производственных сред
- Иметь обработчик ошибок всего сайта для маскировки любых необработанных ошибок; в противном случае отобразится сообщение об ошибке "Серый ящик" от CF, которое может содержать информацию о настройке вашего сервера.
ОБНОВЛЕНИЕ 30 мая 2010 г.:
Adobe только что выпустила Руководство по блокировке ColdFusion 9 (PDF), которое включает в себя все виды информации для правильной блокировки и защиты сервера и приложения ColdFusion.
Исходное сообщение:
Если на сервере будут работать только ваши собственные приложения, начните с блокировки выбранного вами веб-сервера. Предложения Милнера о том, чтобы поместить обработчик ошибок для всего сайта, чтобы перехватить любые ожидания, - хороший способ предотвратить раскрытие данных. Вы можете запустить отладку в производственной среде, если выходные данные ограничены указанными вами IP-адресами. Что касается папки CFIDE, единственная часть, которая действительно должна быть заблокирована, это подпапка "администратор". В папке CFIDE есть много вещей, которые могут понадобиться вашему приложению, если вы используете какой-либо элемент управления формы ColdFusion.
Помимо самого сервера ColdFusion, в вашем коде нужно учитывать множество вещей, таких как:
- Используйте CFQUERYPARAM по вашим запросам.
- Не доверяйте пользовательскому вводу из областей CGI, COOKIE, URL или FORM. Всегда дезинфицируйте вход и не рискуйте с ним.
- Для данных, введенных пользователями, которые будут отображаться в слое, убедитесь, что он обернут функциями HTMLEditFormat() или JSStringFormat(), так как в этом случае требуется представлять атаки межсайтового скриптинга.
Это может быть очевидно, но если сервер подключен к Интернету (напрямую доступен по общедоступному IP-адресу), вам определенно нужен какой-то брандмауэр - по крайней мере, программный брандмауэр в вашей ОС или аппаратное устройство для защиты сервера.
Попробуйте www.hackmycf.com, это инструмент анализа безопасности, созданный Foundeo, и он работает довольно хорошо!