我继承了一些遗留的 ColdFusion 代码,大约一年前,我的网站遭到 XSS 和 SQL 注入攻击。
这导致我验证输入以及在我的application.cfm
文件中包含 ScriptProtect="all" 的设置。我把它扫描了,结果很干净。
最近我再次对其进行了扫描,它发现了许多漏洞,特别是其中一个在 url 中嵌入了脚本的漏洞。
例如,这是附加到一个 url:
?’A<style > a(font0family:expression(alert(2424)))</style>
其中嵌入了隐藏的 JavaScript。如何使用文件URLencode()
中的ColdFusion 功能application.cfm
来检测/防止此类 XSS 攻击?