ATUALIZAÇÃO 30 de maio de 2010:
A Adobe acaba de lançar o Guia de bloqueio do ColdFusion 9 (PDF), que inclui todos os tipos de informações para bloquear e proteger adequadamente um servidor e aplicativo ColdFusion.
Publicação original:
Se apenas seus próprios aplicativos estiverem sendo executados no servidor, comece com o bloqueio do seu servidor da Web de sua preferência. As sugestões de Milner para colocar um manipulador de erros em todo o site para capturar qualquer expectativa são boas para evitar a exposição de dados. Você pode executar a depuração em um ambiente de produção, desde que a saída seja restrita a endereços IP específicos especificados. Quanto à pasta CFIDE, a única parte que realmente precisa ser bloqueada é a subpasta "administrador". Há muitas coisas na pasta CFIDE que seu aplicativo pode precisar se você estiver usando algum dos controles de formulário do ColdFusion.
Fora do próprio ColdFusion Server, há muitas coisas que você precisa considerar em seu código, como:
- Use o CFQUERYPARAM nas suas consultas.
- Não confie na entrada do usuário dos escopos CGI, COOKIE, URL ou FORM. Sempre limpe a entrada e não corra riscos com ela.
- Para os dados que os usuários inseriram que serão exibidos na camada, certifique-se de que ele esteja agrupado com as funções HTMLEditFormat () ou JSStringFormat (), conforme exigido pelos casos, para apresentar ataques de script entre sites.