是否存在任何可掃描ColdFusion源代碼並找到XSS漏洞的工具?ColdFusion的XSS代碼審查工具
比方說一個程序員寫的是這樣的:
<cfoutput> This is a #url.cat#. </cfoutput>
該工具將需要找到未消毒的代碼。
更新:
雖然所有的答案和反饋的到目前爲止是準確的,沒有點到可以對源代碼直接運行的工具。
我個人知道如何編寫xxs安全的代碼。此外,我可以手動查找,檢測並更正XXS漏洞。我正在尋找可以掃描數千個.cfm和.cfc以自動執行這些過程的自動化功能。
也許正確的答案是這樣的工具不存在。 VeriCode等公司提供服務來做這種事情。他們有一個自動化的過程,在我看來,它是一個可怕的工作,因爲它無法遵循代碼邏輯。
無論如何,我會給所有的+1,並在這一點上留下的問題沒有答案。
更新2:有人回答說我找不到工具,所以我會將其標記爲已接受。
如果你使用的ColdFusion 10,你應該看看這篇文章:http://www.isummation.com/blog/day-2-avoid-cross-site-scripting-xss-using-coldfusion-10-part-1/
我不認爲你會發現一個工具,檢查你的代碼,跨站腳本工具,有重點的表單輸入,等等。您可以自己編寫腳本解析器,在您的ColdFusion文件中查找<cfoutput>標記,然後查看是否存在任何提及的標記,但試圖爲變量應該或不應該定義一組規則被XSS阻止功能包裹幾乎是不可能的。你真的需要看看每個變量及其上下文。
有一些事情,雖然上面的文章中提到,你可以在ColdFusion中,以防止XSS攻擊做這一個:http://www.mindfiresolutions.com/Prevent-crosssite-scripting-attacks-in-ColdFusion-1341.php
雖然不是ColdFusion的特定的,有幾個plugins for Fiddler可以檢測或在其中暗示XSS缺陷可能存在。我以前試過看守,發現它給了我一些有用的指針。
不是特定於XSS,但Pete Freitag有一個工具可以掃描您的ColdFusion服務器的漏洞。該網站是Hack My CF。我相信有一個免費的掃描選項,他們還提供每月訂閱選項。我認爲該工具也包含一些XSS檢查。
這個用於ColdFusion Builder的半新工具安全分析器聽起來很有希望:http://www.adobe.com/devnet/coldfusion/articles/security-analyzer.html。
而且VERACODEs掃描要好得多時下:http://www.veracode.com/
這並不直接回答你的問題,但提供了一些免費工具的建議:http://stackoverflow.com/questions/972537/anyone-know-of-一個自由-XSS-滲透測試工具 – Revent