我正在尝试通过使用 lombok extern Slf4j 记录它来获取异常详细信息。 但是在覆盖率扫描中发现了一个问题,如下所示。 这是一个安全审计发现。 CID 227846(第 1 个,共 1 个):日志注入 (LOG_INJECTION)。 受污染的字符串 ex 存储在日志中。 这可能允许 ...
我正在尝试通过使用 lombok extern Slf4j 记录它来获取异常详细信息。 但是在覆盖率扫描中发现了一个问题,如下所示。 这是一个安全审计发现。 CID 227846(第 1 个,共 1 个):日志注入 (LOG_INJECTION)。 受污染的字符串 ex 存储在日志中。 这可能允许 ...
Java中checkmarx扫描中的日志锻造如何在 checkmarx 扫描中解决 Java 的日志伪造问题。 在放入日志文件之前,我尝试清理输入。 但是,它仍然抱怨在记录之前验证或清理输入。 请帮我解决这个问题。 ...
我使用了System.getenv("envVariableName") ,它引发了我的日志伪造问题。 我什至尝试使用ESAPI编码器对返回的String进行编码,但没有帮助。 我的代码段: 关于我所缺少的任何建议将不胜感激。 ...
如何保护 logback(使用模式布局)免受日志伪造攻击? 是否有配置属性告诉 logabck 转义某些保留字符? PS:理想的解决方案是用配置提供的装饰器来装饰每个转换器,但对于当前的 logback 设计来说这似乎是不可能的。 ...
我在Fortify中修复Log Forging问题时遇到问题。 从getLongFromTimestamp()方法中的两个日志记录调用引发了“将未经验证的用户输入写入日志”的问题。 cleanLogString()方法修复了我的项目中的其他Log Forging Fortify问题,但 ...
我们正在使用 Fortify 扫描我们的 .NET 应用程序,需要提供一些关于为什么日志伪造问题不适用于我们的信息。 在我们的代码中,我们有以下模式,当然它并不完全是这样,我已经抓住了我们正在做的事情的本质: 所以基本上,我们控制如何创建日志条目对象。 我们将消息或用户输入限制为 100 个字符 ...
我正在使用 Logback,并且在记录用户参数时需要避免使用 CRLF(回车和换行)。 我试图在静态地图 PatternLayout.defaultConverterMap 上添加我的类,它扩展了 ClassicConverter,但它没有用。 谢谢," ...
我正在处理代码的日志伪造问题: log.error(“请求:” + req.getRequestURL()+“引发” +异常); 该元素的值(req.getRequestURL())在未经适当清理或验证的情况下流经代码,最终用于在handleError中编写审核日志 我试图删除 ...
我已经为我的应用程序生成了Fortify报告。 在Fortify报告中,以下代码显示了日志伪造问题: 并且根据某些人的建议,我已经将“ / n”替换为“ ”,将“ / r”替换为“ ”,但是问题仍然没有解决。 谁能告诉我如何解决这个问题? 提前致谢。 ...
我正在使用 Fortify SCA 来查找我的应用程序中的安全问题(作为大学作业)。 我遇到了一些无法摆脱的“日志伪造”问题。 基本上,我记录了一些用户从 Web 界面输入的值: Fortify 将此报告为日志伪造问题,因为getRecordId()返回用户输入。 我已经关注了这篇文章,我 ...