Protegendo o ColdFusion para servidores com acesso à Internet

5

O que preciso fazer para apertar um servidor ColdFusion para aplicativos voltados para a Internet? A única coisa que especificamente veio à mente foi restringir os diretórios CFIDE e JRunScripts a uma sub-rede local.

Existem configurações no administrador que eu possa ajustar para tornar os aplicativos mais seguros?

    
por Goyuix 06.05.2009 / 00:51

4 respostas

5
  1. Certifique-se de desativar a depuração para ambientes de produção
  2. Ter um manipulador de erros em todo o site para mascarar quaisquer erros não tratados; caso contrário, será exibida a mensagem de erro feia da caixa cinza do CF, que pode conter informações sobre a configuração do servidor
por 06.05.2009 / 01:04
8

ATUALIZAÇÃO 30 de maio de 2010:

A Adobe acaba de lançar o Guia de bloqueio do ColdFusion 9 (PDF), que inclui todos os tipos de informações para bloquear e proteger adequadamente um servidor e aplicativo ColdFusion.

Publicação original:

Se apenas seus próprios aplicativos estiverem sendo executados no servidor, comece com o bloqueio do seu servidor da Web de sua preferência. As sugestões de Milner para colocar um manipulador de erros em todo o site para capturar qualquer expectativa são boas para evitar a exposição de dados. Você pode executar a depuração em um ambiente de produção, desde que a saída seja restrita a endereços IP específicos especificados. Quanto à pasta CFIDE, a única parte que realmente precisa ser bloqueada é a subpasta "administrador". Há muitas coisas na pasta CFIDE que seu aplicativo pode precisar se você estiver usando algum dos controles de formulário do ColdFusion.

Fora do próprio ColdFusion Server, há muitas coisas que você precisa considerar em seu código, como:

  1. Use o CFQUERYPARAM nas suas consultas.
  2. Não confie na entrada do usuário dos escopos CGI, COOKIE, URL ou FORM. Sempre limpe a entrada e não corra riscos com ela.
  3. Para os dados que os usuários inseriram que serão exibidos na camada, certifique-se de que ele esteja agrupado com as funções HTMLEditFormat () ou JSStringFormat (), conforme exigido pelos casos, para apresentar ataques de script entre sites.
por 07.05.2009 / 17:31
2

Pode ser óbvio, mas se o servidor estiver voltado para a Internet (diretamente acessível com um IP público), você definitivamente precisará de algum tipo de firewall - pelo menos um firewall de software em seu sistema operacional ou um dispositivo de hardware para proteger o servidor .

    
por 25.06.2009 / 17:17
1

Experimente www.hackmycf.com, é uma ferramenta de análise de segurança feita pela Foundeo e funciona muito bem!

    
por 15.09.2011 / 19:25