Als neulich bei einem unserer Kunden ein Sicherheitstest bei diversen ColdFusion Web-Anwendungen durchgeführt wurde, fiel auf, das die ScriptProtection von ColdFusion nicht ausreichend ist!

Falls die (globale) ScriptProtection dem ein oder anderem unbekannt sein sollte, das wurde mit MX7 eingeführt und kann sowohl auf Anwendungsebene (bei cfapplication bzw. in der application.cfc) als auch global (im CF-Administrator für alle Anwendungen) angewendet werden. Dabei werden laut Livedocs die HTML Tag Namen object, embed, script, applet und meta durch den Text “InvalidTag”, wahlweise in allen oder nur bestimmten Scopes, ersetzt.

Weiterlesen »