Защита ColdFusion для интернет-сервера

Что мне нужно сделать, чтобы сжать сервер ColdFusion для интернет-приложений? Единственное, что пришло на ум, - это ограничить каталоги CFIDE и JRunScripts локальной подсетью.

Есть ли в администраторе настройки, которые я могу настроить, чтобы сделать приложения более безопасными?

4 ответа

Решение
  1. Убедитесь, что вы отключили отладку для производственных сред
  2. Иметь обработчик ошибок всего сайта для маскировки любых необработанных ошибок; в противном случае отобразится сообщение об ошибке "Серый ящик" от CF, которое может содержать информацию о настройке вашего сервера.

ОБНОВЛЕНИЕ 30 мая 2010 г.:

Adobe только что выпустила Руководство по блокировке ColdFusion 9 (PDF), которое включает в себя все виды информации для правильной блокировки и защиты сервера и приложения ColdFusion.

Исходное сообщение:

Если на сервере будут работать только ваши собственные приложения, начните с блокировки выбранного вами веб-сервера. Предложения Милнера о том, чтобы поместить обработчик ошибок для всего сайта, чтобы перехватить любые ожидания, - хороший способ предотвратить раскрытие данных. Вы можете запустить отладку в производственной среде, если выходные данные ограничены указанными вами IP-адресами. Что касается папки CFIDE, единственная часть, которая действительно должна быть заблокирована, это подпапка "администратор". В папке CFIDE есть много вещей, которые могут понадобиться вашему приложению, если вы используете какой-либо элемент управления формы ColdFusion.

Помимо самого сервера ColdFusion, в вашем коде нужно учитывать множество вещей, таких как:

  1. Используйте CFQUERYPARAM по вашим запросам.
  2. Не доверяйте пользовательскому вводу из областей CGI, COOKIE, URL или FORM. Всегда дезинфицируйте вход и не рискуйте с ним.
  3. Для данных, введенных пользователями, которые будут отображаться в слое, убедитесь, что он обернут функциями HTMLEditFormat() или JSStringFormat(), так как в этом случае требуется представлять атаки межсайтового скриптинга.

Это может быть очевидно, но если сервер подключен к Интернету (напрямую доступен по общедоступному IP-адресу), вам определенно нужен какой-то брандмауэр - по крайней мере, программный брандмауэр в вашей ОС или аппаратное устройство для защиты сервера.

Попробуйте www.hackmycf.com, это инструмент анализа безопасности, созданный Foundeo, и он работает довольно хорошо!

Другие вопросы по тегам