浅谈下coldfusion的安全问题:
一、.基于服务器的安全保护
1.我们知道coldfusion的管理是通过web界面管理的,位于CFIDE虚拟目录中,于是就可以在站点域名的后面追加/CFIDE/administrator/login.cfm猜测CF的管理界面,并且不需要知道用户名,只需知道密码就可以进入。为了减小这种猜测的可能性,可以将CFIDE虚拟目录名称改为非直观的,只有授权用户知道,并通过对IP地址的约束限制对虚拟目录的访问,再将虚拟目录设置目录安全,级别越高越好。
2.限制几个标签的使用,比如<cffile>、<cfftp>、<cfdirectory>、<cfregistry>、<cfmail>、<cfpop>,这些标签可以在服务器上创建目录,创建文件,修改注册表等,如果一定要使用这些标签,可以通过从WEB服务器不提供内容的目录使用。
二、基于应用程序的安全保护
1.使用hash,encrypt函数加密URL变量,在接受URL变量的页面解密,或使用createUUID函数生成唯一的35位随机字符作为主键。
2.查询中使用cfqueryparam标签定义查询数据的类型、长度等,防止SQL注入。
3.在application.cfm中使用<cferror>,在程序发生未知错误时,重定向到自定义错误页面,防止有用的错误信息暴露。
