我们的PCI扫描失败了,因为ColdFusion具有可预测的CFID。我们得到的确切失败是“可预测的Cookie会话ID”。现在CFTOKEN已不再可预测,因为我已将CF配置为使用UUID进行CFTOKEN,但CFID仍可预测且不受CF Admin中任何更改的影响。
我真的不知道为什么CFID可预测是一种威胁,但他们希望我们修复它。
我一直无法通过googeling找到任何关于此事的内容,我真的不确定还能做什么。
有没有其他人处理过这样的事情?有什么建议?
编辑:这是我的Application.cfc文件的样子:
<cfcomponent output="false">
<cfset this.name="DatabaseOnline">
<cfset this.sessionManagement=true>
<cfset this.setDomainCookies=true>
<cfset this.setClientCookies=true>
<cfset this.sessionTimeOut=#CreateTimeSpan(0,20,0,0)#>
</cfcomponent>
我的CF管理员看起来像这样:http://i.imgur.com/k9OZH.png
那么如何禁用CFID?
答案 0 :(得分:5)
使用J2EE会话变量应解决该问题。
要执行此操作,请转至CF管理员。服务器设置 - &gt;内存变量并选中“使用J2EE会话变量”复选框。
您可以在此处找到更多信息http://helpx.adobe.com/coldfusion/kb/predictable-cookie-session-ids-reported.html
答案 1 :(得分:3)
向扫描代理说明CFID是顺序的,但如果没有随机化的相应CFTOKEN cookie,则无效。由于会话不能仅使用ID进行劫持,因此可以减轻扫描失败的原因。他们的自动化测试假设CFID cookie自己控制会话,但事实并非如此。我曾与之合作过的每个扫描供应商都认为这是一个缓解因素,并且在基于CF的网站上禁用或覆盖了我的特定测试。
或者,如果CF服务器上没有任何站点使用会话变量,则可以完全禁用会话管理,CF根本不会发出cookie。如果需要,上面有关如何管理CF会话的说明应该可以帮到您。
