CFUG

С таким призывом обратился к Coldfusion разработчикам Бен Форта (Ben Forta).

За последний месяц прокатилась волна атак sql-injection на Coldfusion сайты. Вероятно, это произошло после одной публикации на хакерском сайте (ссылку не даю умышленно :) о векторе атак на CF-сайты. В целом все сводилось к тому, что

• не используются cfqueryparam для подстановки данных в запросы;
• используется "сборка" sql-запроса отдельной строкой и выполнение ее через и preserveSingleQuotes();
• на production-серверах не отключается robust debugging information

Все это - НЕ УЯЗВИМОСТИ COLDFUSION, это уязвимости слабого кода написанного слабыми программистами. Но последние события показывают, что такого кода много... И отдельное "спасибо" гуглу за поиск по расширению файла :)

Может, волна аттак связана с докладом о Coldfusion на встрече DOU в начале августа ? :-)

Забавно, но в 2005 году Бен говорил тоже самое... и в 2002 году он говорил...