是否存在可以扫描ColdFusion源代码并找到XSS漏洞的工具?
比如说一个程序员写了这样的东西:
<cfoutput> This is a #url.cat#. </cfoutput>
该工具需要找到未经过清理的代码。
更新:
虽然到目前为止所有的答案和反馈都是准确的,但没有一个指向可以直接针对源代码运行的工具。
我个人知道如何编写xxs安全的代码。我也可以手动查找,检测和纠正XXS漏洞。我正在寻找能够扫描数千个.cfm和.cfc以自动化流程的自动化程序。
正确的答案可能是这样的工具不存在。有像VeriCode这样的公司提供服务做这样的事情。他们有一个自动化的过程,在我看来这是一项糟糕的工作,因为它无法遵循代码逻辑。
无论如何,我会给所有+ 1并且在这一点上留下未回答的问题。
更新2:有人确实回答说我找不到工具,所以我会将其标记为已接受。
答案 0 :(得分:3)
不是特定于XSS,但Pete Freitag有一个工具可以扫描ColdFusion服务器的漏洞。该网站是Hack My CF。我相信有一个免费扫描选项,他们还提供每月订阅选项。我认为该工具还包括一些XSS检查。
答案 1 :(得分:2)
如果您使用的是ColdFusion 10,则应阅读以下文章:http://www.isummation.com/blog/day-2-avoid-cross-site-scripting-xss-using-coldfusion-10-part-1/
我不认为你会找到一个检查你的实际代码的工具,那里的XSS工具专注于表单输入等。你可以自己编写一个脚本解析器来查找<cfoutput>你的ColdFusion文件中的标签,然后查看是否存在任何提到的标签,但试图定义一组规则,以便何时应该或不应该通过XSS阻止函数包装变量几乎是不可能的。您真的需要查看每个变量及其上下文。
在ColdFusion中你可以做一些事情来防止XSS攻击,尽管如上文和上面提到的那样:http://www.mindfiresolutions.com/Prevent-crosssite-scripting-attacks-in-ColdFusion-1341.php
答案 2 :(得分:2)
虽然不是特定于ColdFusion的,但有几个plugins for Fiddler可以检测或暗示可能存在XSS缺陷的位置。我之前尝试过观察者,发现它给了我一些有用的指示。
答案 3 :(得分:0)
这个用于ColdFusion Builder的半新工具安全分析器听起来很有希望:http://www.adobe.com/devnet/coldfusion/articles/security-analyzer.html。
现在,VERACODE扫描效果要好得多:http://www.veracode.com/