Category Archive: Security

Dec 12

Posso tornar meus tokens de session mais difíceis de se adivinhar?

Problema: Quero tornar meus session tokens mais difíceis de se adivinhar e mais únicos. Solução: Na maioria das minhas aplicações Web, eu uso sessões em algum ponto para armazenar informações tais como login. Eu faço isso utilizando Session tokens de forma que o server possa identificar quem é quem. Explicação detalhada: Se voce alguma vez …

Continue reading »

Permanent link to this article: http://ensina.me/coldfusion/posso-tornar-meus-tokens-de-session-mais-dificeis-de-se-adivinhar/

Nov 30

Redirecionando HTTP para HTTPS

Problema: Quero forçar um usuário do website para HTTPS quando ele estiver entrando informaç0αo sensitiva. Solução: Dependendo em quais particulares variáveis CGI estiverem disponíveis, voce pode usar CFLOCATION. Explicação detalhada: O código abaixo verifica qual porta o usurário está e se não fôr 443 (tipicamente https), ele redireciona o cliente para o https. Nota: a …

Continue reading »

Permanent link to this article: http://ensina.me/coldfusion/redirecionando-http-para-https/

Nov 08

Previnindo ataques tipo SQL Injection

Problema: Um ataque SQL Injection por um hacker malicioso pode causar estragos em um banco de dados e expôr informações confidenciais. Uma simples declaração tal como: SELECT * FROM tbl_user WHERE userId = #URL.userId# poderia ser facilmente alterada para: SELECT * FROM tbl_user WHERE userId = 1;DROP TABLE tbl_user Isso equivale a um fracasso de …

Continue reading »

Permanent link to this article: http://ensina.me/coldfusion/previnindo-ataques-tipo-sql-injection/

Oct 05

Como detectar Ataques nos Formulários?

Neste post resolvi disponibilizar algo para ajudar ainda mais as ações de segurança nas aplicações com relação ao ponto de entrada de dados. Dentro do CF, a combinação das tags CFQUERY e CFQUERYPARAM ajudam e muito a evitar ataques do tipo SQL Injection, porém elas sozinha minimizam a possibilidade e não neutralizam. Para isso criei …

Continue reading »

Permanent link to this article: http://ensina.me/coldfusion/como-detectar-ataques-nos-formularios/

Sep 12

Como resetar a senha do administrador do ColdFusion?

Se você esqueceu a senha para o Administrator ColdFusion MX, navegue até a pasta cfusionmx7/lib e encontre o arquivo chamado neo-security.xml. Crie uma cópia deste arquivo. Em seguida, abra o original e encontre esse nó no XML: <var name='admin.security.enabled'> <boolean value='true'/> </var> Troque true por false, re-inicie seu servidor ColdFusion, então faça o login imediatamente e configure uma senha …

Continue reading »

Permanent link to this article: http://ensina.me/coldfusion/como-resetar-a-senha-do-administrador-do-coldfusion/

Sep 07

Como faço para usar a criptografia em ColdFusion?

ColdFusion torna simples usar a criptografia para proteger dados confidenciais. O processo básico para criptografar dados requer que você selecione uma chave. Esta chave é utilizada tanto para criptografar e descriptografar os dados. A mesma chave deve ser utilizada para ambas as operações. Depois de ter seleccionado uma chave, o código é simples: <cfset key …

Continue reading »

Permanent link to this article: http://ensina.me/coldfusion/como-faco-para-usar-a-criptografia-em-coldfusion/

Aug 24

Como forçar um aplicativo a usar SSL?

Se voce quiser forçar seu aplicativo (ou uma parte dele) a usar SSL, voce pode simplesmente checar uma das variáveis CGI, server_port_secure. <cfif not cgi.server_port_secure> <cflocation url="https://#cgi.server_name##cgi.script_name#?#cgi.query_string#" /> </cfif> O bloco de código acima faz uso de quatro variáveis CGI. A primeira, cgi.server_port_secure, será true se o request atual estiver em um secure server.(Tecnicamente ela retorna 0 …

Continue reading »

Permanent link to this article: http://ensina.me/coldfusion/como-forcar-um-aplicativo-a-usar-ssl-2/