Protégez vos mots de passe serveur.

Commenter

Contenu du snippet

Attention aux paramétre de sécurité dans la config de Coldfusion serveur. Il existe en effet une fonction qui permet de lire dans la base de registre du serveur, et une autre qui permet de décoder les clé cryptées. Le code si dessous vous affichera le code Administrateur, ainsi que le code d'accés Coldfusion Studio. :-(
Prudence donc si vous autorisez le FTP ou le Upload sur vos serveurs, et pour remédier à ce probléme, n'utilisant pas la fonction <CFREGISTRY>, je l'ai désactivé dans les paramétres du serveur Coldfusion avant que tout le monde en connaisse le mot de passe.
Aprés vérif, le code ci-dessous me renvoi maintenant une erreur d'exécution si je tente de l'exécuter sur mon serveur.

Source / Exemple : 


<CFSET PASSWORD_KEY = "4p0L@r1"> 

<cfregistry action="GET"
  branch="HKEY_LOCAL_MACHINE\SOFTWARE\Allaire\ColdFusion\CurrentVersion\Server" 
  entry="AdminPassword" 
  variable="adminpassword" 
  type="String"> 

<cfregistry action="GET"
  branch="HKEY_LOCAL_MACHINE\SOFTWARE\Allaire\ColdFusion\CurrentVersion\Server"
  entry="StudioPassword"
  variable="studiopassword"
  type="String"> 

<cfoutput>Admin Password: 
#evaluate("cfusion_Decrypt(adminpassword, PASSWORD_KEY )")#</cfoutput><br> 
<cfoutput>RDS Password: 
#evaluate("cfusion_Decrypt(studiopassword, PASSWORD_KEY )")#</cfoutput>

Conclusion :


Domi
http://visual.basic.free.fr

A voir également

S'inscrire maintenant

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Du même auteur (cs_Domi)