Problema: Quero tornar meus session tokens mais difíceis de se adivinhar e mais únicos. Solução: Na maioria das minhas aplicações Web, eu uso sessões em algum ponto para armazenar informações tais como login. Eu faço isso utilizando Session tokens de forma que o server possa identificar quem é quem. Explicação detalhada: Se voce alguma vez …
Arquivo por categoria: Security
Link permanente para este artigo: http://ensina.me/coldfusion/posso-tornar-meus-tokens-de-session-mais-dificeis-de-se-adivinhar/
Nov 30
Redirecionando HTTP para HTTPS
Problema: Quero forçar um usuário do website para HTTPS quando ele estiver entrando informaç0αo sensitiva. Solução: Dependendo em quais particulares variáveis CGI estiverem disponíveis, voce pode usar CFLOCATION. Explicação detalhada: O código abaixo verifica qual porta o usurário está e se não fôr 443 (tipicamente https), ele redireciona o cliente para o https. Nota: a …
Link permanente para este artigo: http://ensina.me/coldfusion/redirecionando-http-para-https/
Nov 08
Previnindo ataques tipo SQL Injection
Problema: Um ataque SQL Injection por um hacker malicioso pode causar estragos em um banco de dados e expôr informações confidenciais. Uma simples declaração tal como: SELECT * FROM tbl_user WHERE userId = #URL.userId# poderia ser facilmente alterada para: SELECT * FROM tbl_user WHERE userId = 1;DROP TABLE tbl_user Isso equivale a um fracasso de …
Link permanente para este artigo: http://ensina.me/coldfusion/previnindo-ataques-tipo-sql-injection/
Out 05
Como detectar Ataques nos Formulários?
Neste post resolvi disponibilizar algo para ajudar ainda mais as ações de segurança nas aplicações com relação ao ponto de entrada de dados. Dentro do CF, a combinação das tags CFQUERY e CFQUERYPARAM ajudam e muito a evitar ataques do tipo SQL Injection, porém elas sozinha minimizam a possibilidade e não neutralizam. Para isso criei …
Link permanente para este artigo: http://ensina.me/coldfusion/como-detectar-ataques-nos-formularios/
Set 12
Como resetar a senha do administrador do ColdFusion?
Se você esqueceu a senha para o Administrator ColdFusion MX, navegue até a pasta cfusionmx7/lib e encontre o arquivo chamado neo-security.xml. Crie uma cópia deste arquivo. Em seguida, abra o original e encontre esse nó no XML: <var name='admin.security.enabled'> <boolean value='true'/> </var> Troque true por false, re-inicie seu servidor ColdFusion, então faça o login imediatamente e configure uma senha …
Link permanente para este artigo: http://ensina.me/coldfusion/como-resetar-a-senha-do-administrador-do-coldfusion/
Set 07
Como faço para usar a criptografia em ColdFusion?
ColdFusion torna simples usar a criptografia para proteger dados confidenciais. O processo básico para criptografar dados requer que você selecione uma chave. Esta chave é utilizada tanto para criptografar e descriptografar os dados. A mesma chave deve ser utilizada para ambas as operações. Depois de ter seleccionado uma chave, o código é simples: <cfset key …
Link permanente para este artigo: http://ensina.me/coldfusion/como-faco-para-usar-a-criptografia-em-coldfusion/
Ago 24
Como forçar um aplicativo a usar SSL?
Se voce quiser forçar seu aplicativo (ou uma parte dele) a usar SSL, voce pode simplesmente checar uma das variáveis CGI, server_port_secure. <cfif not cgi.server_port_secure> <cflocation url="https://#cgi.server_name##cgi.script_name#?#cgi.query_string#" /> </cfif> O bloco de código acima faz uso de quatro variáveis CGI. A primeira, cgi.server_port_secure, será true se o request atual estiver em um secure server.(Tecnicamente ela retorna 0 …
Link permanente para este artigo: http://ensina.me/coldfusion/como-forcar-um-aplicativo-a-usar-ssl-2/