ما هو مقدار العمل الذي يجب أن أفعله لتأمين موقعي على الويب؟

ما هو مقدار العمل الذي يجب أن أفعله لتأمين موقعي على الويب؟

فهم مقدار العمل الذي يجب عليك القيام به لتأمين عملك
يعتمد موقع الويب على مدى أمان ما تحتاج إليه لموقع الويب الخاص بك.
يمكنك اتباع بعض القواعد البسيطة لمساعدتك على تحديد كم
العمل الذي يجب القيام به لتأمين موقع الويب الخاص بك:
■ هل المحتوى أو البيانات ذات القيمة العالية بشكل خاص؟ كما التكلفة
من استبدال بياناتك ، يجب عليك قضاء المزيد من الوقت
مراجعة المخاطر المحتملة.
■ ما هو نوع من القراصنة قد تنجذب إلى هذا الموقع ، وماذا
هو نوع الضرر الذي يمكن أن يصيبه بسهولة
الموقع؟ اعرف كيف يعمل موقعك ، وتوقع كل من
إمكانية الهجمات والتقنيات التي سوف تستخدم لصدها
هذه الهجمات في الكود الخاص بك.
■ هل بقية شبكتك آمنة؟ من "الهندسة الاجتماعية"
تقنيات مثل الاتصال بشركتك عبر الهاتف
ومحاولة معرفة معلومات سرية ، لمجرد المشي في
غرفة خادم غير آمنة ، وهناك الكثير من المتسللين التكتيكات
يمكن أن محاولة هذا الرمز وحده لن يردع.
ومع ذلك ، فإن الهدف الأساسي هو معرفة مدى قيمة بياناتك
يكون ، لك ولعملائك ، سواء تمثل هذه البيانات
مشروع استهلاكي كبير أو معلومات عائلية خاصة. إدارة المخاطر
هو اسم اللعبة ، وتحتاج إلى معرفة ما لديك من قبل
يمكنك تقييم مستوى الحماية اللازمة لموقعك بشكل مناسب.
خطأ على جانب حماية بياناتك وستحصل على بداية جيدة في
حل مشكلة.
تخفيف خطر الهجوم في بلدكم
تطبيقات ColdFusion
معرفة كيف المتسللين يعتقدون وفهم تاريخ القرصنة هو
خطوة أولى مهمة نحو تأمين تطبيقات ColdFusion الخاصة بك. ومع ذلك ، حقا
فهم الطريقة التي يعمل بها المتسللون هي أهم خطوة يمكن أن تتخذها
لحماية رمزك وخوادمك.

يعتبر التعرف على أهم تطبيقات تطبيق ColdFusion أحد مفاتيح نجاحك
في صد هجمات القراصنة. الاستجابة للقضايا التي أنشأها هذا التطبيق
أوجه القصور هي مهمة أكثر تعقيدًا. يمكنك معالجة المشكلات الشائعة التي تم إنشاؤها
من خلال الكتابة المتغيرة الفضفاضة ، وتصميم التطبيقات غير المنظم ، وسهولة الاستخدام
من نظام ColdFusion عن طريق اتباع بعض الاتفاقيات السهلة:
■ تحقق من صحة المدخلات في صفحاتك. على سبيل المثال ، تأكد من أن
عدد صحيح تعتقد أنك تبحث عنه محاصر بواسطة رمزك وكشف
ليكون عددًا صحيحًا. سنناقش التحقق من الصحة لاحقًا في هذا القسم.
■ يغلف وظيفة شائعة الاستخدام في العلامات المخصصة. استعمال
القدرة المحلية لـ ColdFusion لاستدعاء النماذج المكتوبة في ColdFusion
لغة توصيف (CFML) كجرد في الوقت المناسب (JIT) تجميع الكائنات و
للإشارة إلى تلك الأشياء الشائعة من أماكن متعددة في تطبيق ما ،
الحفاظ على رمز في قطع الحفاظ عليها بسهولة.يمكنك الرجوع
هذه العلامات المخصصة مباشرةً في شفرتك ، أو قد تختار استخدامها
اتصل CFMODULE بسمات مخصصة أكثر بسلاسة. وسنناقش هذا الأمر لاحقًا
في هذا القسم أيضًا.
■ استخدم التحقق الخارجي مثل الصفوف في قاعدة بيانات للحفاظ عليها
معلومات المستخدم الخاصة بك. قد يبدو الأمر كحقيقة بسيطة ، ولكن مع الاحتفاظ بها
يمكن أن تكون المعلومات خارج سلسلة استعلام URL أذكى وأكثر
من الصعب القيام به للحفاظ على أمان التطبيق الخاص بك. استعمال
معرفات فريدة مثل ملفات تعريف الارتباط المشفرة لوضع علامة على المستخدم والتغيير
هذه المعرفات بشكل دوري لمنع ملف تعريف الارتباط أو انتحال جلسة العمل.
■ المستند ، المستند ، وتوثيق التعليمات البرمجية الخاصة بك. تذكر
ما كنت تحاول القيام به منذ ستة أشهر عندما "تحتاج فقط إلى
إضافة قيمة مشفرة في موقع التدريج الخاص بك "من التعليمات البرمجية نفسها قد
يؤدي إلى ثقب أمان يتم نشره في الإنتاج عن طريق الخطأ.
■ اختبر شفرتك! ستفاجأ بمعرفة عدد الميزات الجديدة
تسرب إلى الإنتاج مع نتائج غير مقصودة لأن المطور كان
يقال "فقط إطلاقه" بدلا من الانتهاء (أو على الأقل كتابة) الاختبار
خطة لمعالجة وظائف الكود الجديد.
■ تعامل مع اخطائك واعط لنفسك شبكة أمان. على مستوى النظام
قالب معالجة الأخطاء المقدم في ColdFusion 4.5 سوف
تعطيك الفرصة لعرض قالب خطأ قياسي عندما
تحدث أخطاء.هذه الحماية بطانية لا يزيل الحاجة إلى اعتراض
أخطاء على أساس تطبيق أو صفحة ، ولكن سوف يمنحك بعض الوقت لإصلاح
أخطاء قبل المتسللين ندرك أن هناك أخطاء. لا تعطي القراصنة
مزيد من المعلومات أكثر مما يحتاج إلى معرفته وتكوينه
خادم ColdFusion بشكل مناسب للحد من مقدار التصحيح
المعلومات التي تم إرجاعها مع وجود خطأ.
هذه الاتفاقيات لن تمنع المتسللين من محاولة اقتحام الخاص بك
لكنهم سيزيلون بعض الأخطاء الأساسية التي قد تسببها.
هذه اقتراحات لتطبيقات ColdFusion ، ولكن لها أيضًا تداعيات عليها
تطوير التطبيقات السريعة (RAD) بشكل عام. لمزيد من المعلومات ، أنت
قد ترغب في مراجعة تطبيق "هيمنج بروبرنج هاك" لتطبيقات الويب الخاصة بك
(ISBN 1-928994-25-3) ، التي تتمتع بتغطية كبيرة لأفضل ممارسات التطوير ،
أو أكمل قانون ستيف ماكونيل: دليل عملي للبرمجيات
البناء (ISBN 1-55615-484-4).
بالإضافة إلى ذلك ، يجب أن تفهم الأنواع الأساسية للهجمات التي ترتكب عادة
من قِبل المتسللين لتحقيق النجاح في حماية تطبيق ColdFusion.
سيساعدك تطبيق هذه الدروس على شفرتك و "التفكير مثل الهاكر" في ذلك
ردع المتسللين من سهولة الوصول إلى موقعك.
معرفة الطرق المحددة التي قد يحاول بها المتسللون مهاجمة تطبيقات ColdFusion
مهم أيضًا لحماية تطبيقاتك. وقع واحد هجوم معين في
1999 ، باستخدام الثغرات الأمنية المدمجة في نماذج التطبيقات الموزعة مع
ColdFusion قبل إصدار ColdFusion 4.5. تسبب الألم خاصة ل
مديري خوادم ColdFusion. باحث أمن الغابات المطيرة جرو
أشار Wiretrip.net إلى أنه يمكن استغلال تطبيقات الأمثلة هذه
كشف محتويات أي ملف نصي على الخادم ، وترك الصندوق عرضة للخطر
هجوم. الجمع بين هذا استغلال مع ملف تحميل فائدة في نفس المثال
التطبيقات ، تمكن المتسللون من تغيير خوادم ColdFusion غير المحمية تقريبًا في
سوف.على الرغم من أن الإصلاح لهذه المشاكل كان ببساطة لإزالة التطبيقات سبيل المثال
من الخادم ، العديد من المسؤولين لم يلتفتوا إلى هذه النصيحة
تمت تغطية الخارقة الناتجة في قصة مميزة في مجلة نيويورك تايمز ،
ولاحقًا ، غيّر Allaire طريقة تثبيت خادم ColdFusion
يعمل ، مما يجعل مثل هذه التطبيقات اختيارية وليست إلزامية.
واعترفت Macromedia بالهجمات الأخيرة بأنها "غير مصرح بها
قراءة وحذف الوصول إلى الملفات على جهاز يعمل على خادم ColdFusion.
قد تسمح المشكلة الأخرى بقوالب خادم ColdFusion ليتم الكتابة فوقها
ملف بايت صفري يحمل الاسم نفسه. "
للحصول على أفضل توصيات حول ممارسة Macromedia بخصوص عام 1999 ، راجع
Macromedia Product Security Bulletin (MPSB01-08)، 8/7/01، www.macromedia
كوم / V1 / مناولات / index.cfm؟ ID = 21700 & طريقة = كامل. قم بتنزيل Macromedia
بقع الأمان (لـ ColdFusion 2.0 - 4.5.1 Service Pack 2 على كافة الأنظمة الأساسية) لـ
هذه الثغرات في نشرة ماكروميديا ​​لأمن المنتج (MPSB01-07) ،
7/11/01 ، www.macromedia.com/v1/handlers/index.cfm؟id=21566&method=full.

لا يمكن لأي شخص الوصول إلى إصدارات جديدة من الخادم ، والتي يزعم
حل هذه المشاكل.يمكنك التعرف على المشاكل الكامنة في ColdFusion ذلك
من المحتمل أن يستهدف المتسللون ومعالجة هذه العيوب في التعليمة البرمجية الخاصة بك بواسطة
التحقق من صحة صفحة المدخلات وتعزيز كود الوحدات.



التحقق من صحة إدخال الصفحة

يتطلب التحقق من صحة إدخال الصفحة العديد من النماذج. بعض الطرق التي يمكنك تنفيذها
التحقق من صحة المدخلات تشمل:
دائما نطاق المتغيرات الخاصة بك. لم أستعمل أبدا
 <cfset myVariable= "some value">
when you could use <cfset variables.myVariable = "some value"> to force that vari
الإعلان القادر على أن يكون محليًا في قالب الصفحة. متغيرات النطاق أيضا يزيد
أداء.
باستخدام <CFPARAM>. استعمال<CFPARAM>
لتعيين نطاق وقيمة نوع
المتغير الذي تتوقعه في الصفحة: <CFPARAM NAME = "Anniversary" TYPE =
"التاريخ">. إذا كان المتغير الموفر ليس من النطاق والنوع المحددين ، فسيكون CF متاحًا
رمي خطأ والتوقف عن معالجة الصفحة.
التحقق من حقول النموذج. هناك طريقتان لإجراء التحقق من صحة حقل النموذج في
CF: جانب الخادم والعميل. يقوم CF بتنفيذ التحقق من صحة جانب الخادم عندما
تستخدم حقول HTML مخفية لتعيين لاحقات التحقق من CF:
_integer، _float، _range، _date، _time، _eurodate.The CFFORM controls، cfinput and
cftextinput ، تسمح لك بتحديد خاصية التحقق من صحة التحقق من صحة بيانات المدخلات.
يقوم CFFORM بإنشاء جافا سكريبت من جانب العميل لإجراء هذا التحقق من الصحة. بطريقة مماثلة،
تسمح لك عناصر تحكم CFFORM الأخرى بتحديد الخاصية المميزة onvalidate
التي يمكنك تمرير دالات JavaScript صالحة لإجراء التحقق من صحة الإدخال. شاهد
وثائق تعليمات CF لمزيد من التفاصيل والأمثلة.
استخدام وظائف القرار. يوفر CF العديد من الوظائف للتحقق من الصحة
بيانات السلسلة: Val ، isDefined ، isNumeric ، isBinary، isDate، isStruct، etc.These functions
إرجاع قيمة منطقية ، مما يجعلها مثالية لعمليات تقييم CFIF ، مثل
<CFIF isNumeric(URL.myID)>
انظر مرجع لغة CFML - القرار
وظائف لمزيد من التفاصيل والأمثلة.
باستخدام <CFQUERYPARAM>. استخدم علامة <CFQUERYPARAM> في
جمل SQL WHERE للتحقق من صحة معلمات استعلام SQL مقابل بيانات SQL صالحة
أنواع. <CFQUERYPARAM> يميل أيضا إلى سرعة معالجة قاعدة البيانات باستخدام
ربط المعلمات حيث تسمح قاعدة البيانات.
باستخدام نطاق الطلب. استخدم <cfset request.myVariable = "some value"> ل
إنشاء متغير في نطاق الطلب الذي سيستمر لمدة CF
طلب (جعله متاحًا لجميع النماذج المضمنة في الطلب)
طريقة سهلة لجعل البيانات تستمر خارج القالب الحالي ، ولكن مع تجنب ضرورة استخدام <CLOCK> لمنع هذه البيانات من الكتابة بشكل ديناميكي من قبل الخادم.
قفل الوصول إلى التطبيق والخادم ونطاقات الجلسة. <CFLOCK> is
ضرورية لضمان أن المتغيرات في النطاقات المشتركة (التطبيق ، الخادم ، والجلسة)
لا يتم الكتابة فوق بطريق الخطأ أثناء الوصول المترابط مؤشر ترابط (يقرأ /
يكتب) في سياق معالجة التطبيق العادي من قبل خادم ColdFusion.
قد لا تحتوي التعليمة البرمجية القديمة على مكالمات <CFLOCK> مكتوبة فيها ، لأن هذه الميزة كانت
قدم في CF 4.01 لتحسين استقرار الخادم وقابلية التوسع. تحسن CF 4.5
منهجية القفل من خلال تقديم تأمين من جانب الخادم في
المسؤول ، وإدخال تأمين النطاق في العلامة <CFLOCK>. للمزيد من
عند القفل ، راجع Macromedia TechNote 20370 ، أفضل ممارسات ColdFusion Locking
in (www.macromedia.com/v1/Handlers/index.cfm؟ID=20370&Method=Full).
تجنب الحاجة إلى استخدام <CFLOCK>. <CFLOCK> من الصعب استخدام جيد
وليس من الضروري للعديد من التطبيقات. تجنب استخدامه كلما كان ذلك ممكنا.الأفضل
الطريقة هي نقل المتغيرات الخاصة بك المشتركة إلى نطاق الطلب (المذكورة
أعلاه). كما يمكنك استخدام القفل التلقائي للقراءة في مسؤول CF (4.5 وما فوق)
للقبض على القراءات المتغيرة لنطاق المشترك. يؤدي إعداد catch-all إلى ظهور خطأ
يكتب المشترك المدى ، ويدخل أيضا الحمل الأداء. انظر Macromedia
TechNote 14165 ، التغييرات في <CFLOCK> في خادم CF 4.5 (www.macromedia
.com / v1 / Handlers / index.cfm؟ ID = 14165 & Method = Full) لمزيد من التفاصيل.