在部署的 Web 應用程序中,<cfdump> 標簽可能會泄漏敏感信息。
在實踐中,人們往往為了達到調試和測試代碼的目的而輸出某些變量的值,同時附帶的還有一些本不應提供或保留在正式部署的應用系統中的代碼。當這種類型的調試代碼意外地留在應用程序中,應用程序可能會在無意間將其泄漏給攻擊者。但并不是所有的調試指令都會泄漏敏感或私密信息。然而,調試指令的出現通常意味著附近的代碼已被忽略,而且可能處在一種不受維護的狀態。
在 ColdFusion 中,遺忘調試代碼最常見的一例是遺忘 <cfdump> 標簽。雖然在軟件開發過程中允許使用 <cfdump> 標簽,但是作為開發者,對代碼負責是 Web 應用程序開發的重要部分,所以應該仔細考慮是否能夠使用每一個 <cfdump> 標簽。
[1] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3120 CAT II
[2] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3120 CAT II
[3] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 215
[4] Standards Mapping - FIPS200 - (FISMA) SI