ColdFusion 9,会话ID可预测性

时间:2014-04-22 19:56:55

标签: coldfusion coldfusion-9

我继承了一个使用ColdFusion 9.0.2的网站。扫描程序报告可预测的cookie会话ID。对此的修复应该是检查"使用UUID进行cftoken"。这已经过检查,但仍然是一个问题。有没有人碰到这个?有谁知道如何在CFADMIN或CF代码中解决这个问题?

2 个答案:

答案 0 :(得分:1)

您的扫描仪抱怨的内容很可能是CFID,而不是CFTOKEN。

请参阅:How do I secure CFID for PCI compliance?

答案 1 :(得分:1)

我的建议是将会话管理设置为使用jsessionid。

http://help.adobe.com/en_US/ColdFusion/9.0/Developing/WSc3ff6d0ea77859461172e0811cbec22c24-7c48.html

作为额外的好处,您可以在使用jsessionid时序列化会话数据。这可能对您有用,也可能无关紧要,但您的基本问题应该通过切换到ColdFusion Administrator中的J2EE会话来解决。

您可能还想考虑转移到ColdFusion 10或Railo以利用HTTPOnly cookie,这些cookie使用Javascript无法读取,使用Cookie上的安全标记,并在登录后使用SessionRotate()以防止会话固定。

http://www.adobe.com/devnet/coldfusion/articles/security-improvements.html

Pete Freitag的博客提醒我,CF 9.01及更高版本的标志可以设置为使用java args使用HTTPOnly会话cookie,或者您可以使用setClientCookies = false。正如@Henry指出的那样,你需要做其中一件事来摆脱CFID和CFToken的创作:

http://www.petefreitag.com/item/764.cfm