我正在尝试通过使用 lombok extern Slf4j 记录它来获取异常详细信息。 但是在覆盖率扫描中发现了一个问题，如下所示。 这是一个安全审计发现。 CID 227846（第 1 个，共 1 个）：日志注入 (LOG_INJECTION)。 受污染的字符串 ex 存储在日志中。 这可能允许 ...

Java中checkmarx扫描中的日志锻造如何在 checkmarx 扫描中解决 Java 的日志伪造问题。 在放入日志文件之前，我尝试清理输入。 但是，它仍然抱怨在记录之前验证或清理输入。 请帮我解决这个问题。 ...

我使用了System.getenv("envVariableName") ，它引发了我的日志伪造问题。 我什至尝试使用ESAPI编码器对返回的String进行编码，但没有帮助。 我的代码段： 关于我所缺少的任何建议将不胜感激。 ...

如何保护 logback（使用模式布局）免受日志伪造攻击？ 是否有配置属性告诉 logabck 转义某些保留字符？ PS：理想的解决方案是用配置提供的装饰器来装饰每个转换器，但对于当前的 logback 设计来说这似乎是不可能的。 ...

我在Fortify中修复Log Forging问题时遇到问题。 从getLongFromTimestamp（）方法中的两个日志记录调用引发了“将未经验证的用户输入写入日志”的问题。 cleanLogString（）方法修复了我的项目中的其他Log Forging Fortify问题，但 ...

我们正在使用 Fortify 扫描我们的 .NET 应用程序，需要提供一些关于为什么日志伪造问题不适用于我们的信息。 在我们的代码中，我们有以下模式，当然它并不完全是这样，我已经抓住了我们正在做的事情的本质： 所以基本上，我们控制如何创建日志条目对象。 我们将消息或用户输入限制为 100 个字符 ...

我正在使用 Logback，并且在记录用户参数时需要避免使用 CRLF（回车和换行）。 我试图在静态地图 PatternLayout.defaultConverterMap 上添加我的类，它扩展了 ClassicConverter，但它没有用。 谢谢，" ...

我正在处理代码的日志伪造问题： log.error（“请求：” + req.getRequestURL（）+“引发” +异常）； 该元素的值（req.getRequestURL（））在未经适当清理或验证的情况下流经代码，最终用于在handleError中编写审核日志 我试图删除 ...

我已经为我的应用程序生成了Fortify报告。 在Fortify报告中，以下代码显示了日志伪造问题： 并且根据某些人的建议，我已经将“ / n”替换为“ ”，将“ / r”替换为“ ”，但是问题仍然没有解决。 谁能告诉我如何解决这个问题？ 提前致谢。 ...

我正在使用 Fortify SCA 来查找我的应用程序中的安全问题（作为大学作业）。 我遇到了一些无法摆脱的“日志伪造”问题。 基本上，我记录了一些用户从 Web 界面输入的值： Fortify 将此报告为日志伪造问题，因为getRecordId()返回用户输入。 我已经关注了这篇文章，我 ...