我继承了一个使用ColdFusion 9.0.2的网站。扫描程序报告可预测的cookie会话ID。对此的修复应该是检查"使用UUID进行cftoken"。这已经过检查,但仍然是一个问题。有没有人碰到这个?有谁知道如何在CFADMIN或CF代码中解决这个问题?
答案 0 :(得分:1)
您的扫描仪抱怨的内容很可能是CFID,而不是CFTOKEN。
答案 1 :(得分:1)
我的建议是将会话管理设置为使用jsessionid。
http://help.adobe.com/en_US/ColdFusion/9.0/Developing/WSc3ff6d0ea77859461172e0811cbec22c24-7c48.html
作为额外的好处,您可以在使用jsessionid时序列化会话数据。这可能对您有用,也可能无关紧要,但您的基本问题应该通过切换到ColdFusion Administrator中的J2EE会话来解决。
您可能还想考虑转移到ColdFusion 10或Railo以利用HTTPOnly cookie,这些cookie使用Javascript无法读取,使用Cookie上的安全标记,并在登录后使用SessionRotate()以防止会话固定。
http://www.adobe.com/devnet/coldfusion/articles/security-improvements.html
Pete Freitag的博客提醒我,CF 9.01及更高版本的标志可以设置为使用java args使用HTTPOnly会话cookie,或者您可以使用setClientCookies = false。正如@Henry指出的那样,你需要做其中一件事来摆脱CFID和CFToken的创作: