インターネット向けサーバーのColdFusionの保護
インターネット向けアプリのColdFusionサーバーを強化するには何をする必要がありますか?特に頭に浮かんだのは、CFIDEディレクトリとJRunScriptsディレクトリをローカルサブネットに制限することだけでした。
管理者に、アプリケーションをより安全にするために微調整できる設定はありますか?
- 実稼働環境のデバッグは必ずオフにしてください
- 未処理のエラーをマスクするためのサイト全体のエラーハンドラーを用意します。そうしないと、CFからの醜い灰色のボックスエラーメッセージが表示されます。これには、サーバーのセットアップに関する情報が含まれている可能性があります。
更新2010年5月30日:
アドビは、ColdFusionサーバーとアプリケーションを適切にロックダウンおよび保護するためのあらゆる種類の情報を含む ColdFusion 9ロックダウンガイド (PDF)をリリースしました。
元の投稿:
独自のアプリケーションのみがサーバー上で実行される場合は、選択したWebサーバーをロックダウンすることから始めます。サイト全体のエラーハンドラーを配置して期待をキャッチするというミルナーの提案は、データの漏洩を防ぐための良い提案です。出力が指定した特定のIPアドレスに制限されている限り、実稼働環境でデバッグを実行できます。 CFIDEフォルダーに関しては、実際にロックダウンする必要があるのは「administrator」サブフォルダーだけです。 CFIDEフォルダーには、ColdFusionフォームコントロールのいずれかを使用している場合にアプリケーションで必要になるものがたくさんあります。
ColdFusion Server自体以外にも、コードで考慮する必要のある事項がたくさんあります。
- クエリにはCFQUERYPARAMを使用してください。
- CGI、COOKIE、URL、またはFORMスコープからのユーザー入力を信頼しないでください。入力は常にサニタイズし、チャンスを逃さないでください。
- ユーザーが入力したデータがレイヤーに表示される場合は、クロスサイトスクリプティング攻撃を提示する必要がある場合に備えて、HTMLEditFormat()またはJSStringFormat()関数でラップされていることを確認してください。
当たり前のことかもしれませんが、サーバーがインターネットに面している(パブリックIPで直接アクセスできる)場合は、何らかのファイアウォールを設置する必要があります。少なくとも、サーバーを保護するためのOSのソフトウェアファイアウォールまたはハードウェアデバイスです。
Www.hackmycf.comを試してみてください。これは、Foundeoによって作成されたセキュリティ分析ツールであり、非常にうまく機能します。