是否有任何工具可以扫描 ColdFusion 源代码并定位 XSS 漏洞?
比如说一个程序员写了这样的东西:
<cfoutput> This is a #url.cat#. </cfoutput>
该工具需要找到未清理的代码。
更新:
虽然到目前为止所有的答案和反馈都是准确的,但没有一个指向可以直接针对源代码运行的工具。
我个人知道如何编写 xxs 安全的代码。我还可以手动查找、检测和纠正 XXS 漏洞。我正在寻找可以扫描数千个 .cfm 和 .cfc 以自动化流程的自动化工具。
可能正确的答案是这样的工具不存在。有像 VeriCode 这样的公司提供这样的服务。他们有一个自动化的过程,在我看来,它做得很糟糕,因为它无法遵循代码逻辑。
无论如何,我会给所有+1,在这一点上让这个问题悬而未决。
更新 2:有人回答说我找不到工具,所以我将其标记为已接受。
不特定于 XSS,但 Pete Freitag 有一个工具可以扫描您的 ColdFusion 服务器以查找漏洞。该网站是Hack My CF。我相信有一个免费的扫描选项,他们还提供每月订阅选项。我认为该工具还包括一些 XSS 检查。
如果您使用的是 ColdFusion 10,您应该阅读这篇文章:http ://www.isummation.com/blog/day-2-avoid-cross-site-scripting-xss-using-coldfusion-10-part-1/
我认为您不会找到检查实际代码的工具,那里的 XSS 工具专注于表单输入等。您可以自己编写脚本解析器,<cfoutput>在 ColdFusion 文件中查找标签,然后查找查看是否存在提到的任何标签,但是尝试定义一组规则来定义变量何时应该或不应该被 XSS 防止函数包装的规则几乎是不可能的。您确实需要查看每个变量及其上下文。
您可以在 ColdFusion 中做一些事情来防止 XSS 攻击,尽管如上面的文章和这篇文章中所述:http: //www.mindfiresolutions.com/Prevent-crosssite-scripting-attacks-in-ColdFusion-1341.php
虽然不是 ColdFusion 特定的,但有几个Fiddler 插件可以检测或提示可能存在 XSS 缺陷的位置。我之前尝试过 watcher ,发现它给了我一些有用的指示。
这个用于 ColdFusion Builder 的半新工具安全分析器听起来很有希望:http: //www.adobe.com/devnet/coldfusion/articles/security-analyzer.html。
现在 VERACODEs 扫描要好得多:http ://www.veracode.com/