Проблема безопасности Coldfusion ... как скрыть каталог файлов?

Question

Итак, я решил попытаться взломать мой сайт ... Я погуглил свой сайт, введя site: mysite.com/wh независимо, и вот, все загруженные пользователями файлы были доступны для просмотра в определенном каталоге.

Какой тип сценария / контрмеры мне следует использовать, чтобы заблокировать просмотр этих файлов?У меня уже есть скрипт, который проверяет путь и статус вошедшего в систему, но это, похоже, не работает.Я искал все решения ... но я не могу найти одно.Я использую ColdFusion 8.

Answer 1

Лучший способ защитить свои списки файлов и сами файлы - это сохранить их в другой папке за пределами корневой папки веб-сайта. Затем вы можете подать их, используя CFDIRECTORY и CFCONTENT. Страницы, на которых отображаются файлы, могут проверять ваши элементы управления доступом и предоставлять файлы только тем, кому разрешено их просматривать.

Answer 2

Это не проблема ColdFusion, а скорее проблема конфигурации веб-сервера.

Вам следует:

• настроить свой веб-сервер не для отображения каталога файлов при использовании URL-адреса без имени файла ( например , http://www.example.com/files/)

• пропустить пустое значение по умолчаниювеб-документ (index.html, index.htm, default.htm, index.cfm и т. д.) в этот каталог, чтобы он отображал этот документ, а не список файлов.Если вы используете index.cfm, он запустит ваш Application.cfm / cfc в вашем пути к файлу и будет использовать любую другую созданную вами защиту.

(или, что лучше, сделайте оба)