ColdFusion 9，会话ID可预测性

Question

我继承了一个使用ColdFusion 9.0.2的网站。扫描程序报告一个可预测的cookie会话ID。修复此问题的方法应该是勾选“UUID for cftoken”。已选中此选项，但仍将其报告为问题。有没有人碰到过这个？有人知道如何在CFADMIN或CF代码中解决这个问题吗？

Answer 1

您的扫描仪所抱怨的很可能是CFID，而不是CFTOKEN。

请参阅：How do I secure CFID for PCI compliance?

Answer 2

我的建议是将会话管理设置为使用jsessionid。

http://help.adobe.com/en_US/ColdFusion/9.0/Developing/WSc3ff6d0ea77859461172e0811cbec22c24-7c48.html

作为额外的好处，您可以在使用jsessionid时序列化会话数据。这对您来说可能重要，也可能无关紧要，但您的基本问题应该通过切换到ColdFusion管理器中的J2EE会话来解决。

您可能还想考虑迁移到ColdFusion 10或Railo，以利用Javascript无法读取的HTTPOnly cookies，在cookies上使用secure标志，并在登录后使用SessionRotate()来防止会话固定。

http://www.adobe.com/devnet/coldfusion/articles/security-improvements.html

Pete Freitag的博客提醒我，CF9.01和更高版本有一个标志，可以使用java args设置为使用HTTPOnly会话cookie，也可以使用setClientCookies = false。正如@Henry指出的，你需要做其中的一件事来摆脱CFID和CFToken的创建：

http://www.petefreitag.com/item/764.cfm