У меня есть страница входа пользователя для идентификатора и пароля. Это передается в мой файл аутентификации, который выполняет стандартный поиск для пользователя. При успешном входе в систему создается переменная сеанса isLoggedIn и userStruct с данными, связанными с профилем, а затем продолжается переход к экрану приветствия. На экране приветствия есть cfinclude для проверки, определена ли переменная сеанса isLoggedIn (как это имеет место на всех страницах). Если isLoggedIn нет, пользователь перенаправляется обратно для входа в систему.
Последние 2 года это работало нормально, но после внутреннего сканирования были выявлены следующие проблемы безопасности Adobe
1. Уязвимость CSRF в Adobe ColdFusion 8.0,8.0.1,9.0 и 9.0.1 http://kb2.adobe.com/cps/907/cpsid_90784.html
2. XSS уязвимости в консоли администратора http://kb2.adobe.com/cps/890/cpsid_89094.html
Я применил исправления безопасности.
Мы также обновили Firefox до версии 6 - хотя проблема возникает и в IE.
Теперь, по какой-то причине и нет согласованности, если вы попытаетесь войти, он вернет вас обратно к экрану входа. Я проследил это до проверки переменной сессии, упомянутой выше. Я проверил Db, и он показывает, что время последнего входа пользователей было обновлено, чтобы отразить попытку входа. Однако по какой-то причине переменная сеанса не создается.
Если вы очистите кеш браузера и перезапустите браузер, это позволит вам войти в систему, как и ожидалось, но через некоторое время проблема вернется.
Я мог войти в субботу, но не смог в понедельник. Я очистил свой кэш и смог войти в систему. У меня не было проблем во вторник - умножь логины на весь день. Затем этим утром он вернулся, и я не смог войти снова.
В целях тестирования я сделал откат исправлений безопасности, и проблема исчезла, но, очевидно, я не могу оставить это так. Я повторно применил исправления, и проблема вернулась и снова без единого шаблона.
У кого-нибудь есть идеи, которые они могут передать?