問題タブ [log-forging]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - ログ鍛造強化修正
Fortify SCA を使用して、アプリケーションのセキュリティの問題を見つけています (大学の宿題として)。解決できない「Log Forging」の問題に遭遇しました。
基本的に、Web インターフェイスからのユーザー入力としていくつかの値をログに記録します。
getRecordId()がユーザー入力を返すため、Fortify はこれをログ偽造の問題として報告します。
この記事に従い、「改行」をスペースに置き換えていますが、問題はまだ報告されています
誰でもこの問題を解決する方法を提案できますか?
java - Fortify レポートに鍛造の問題を記録する
アプリケーションの Fortify レポートを生成しました。Fortify レポートでは、以下のコードでログ偽造の問題が示されています。
一部の人々の提案に従って、「/n」を「」に、「/r」を「」に置き換えましたが、それでも問題は解決しません。
誰でもこれを解決する方法を教えてもらえますか?
前もって感謝します。
java - リクエスト オブジェクトを使用したログ偽造
私はコードのログ偽造の問題を扱っています:
log.error("リクエスト: " + req.getRequestURL() + "発生" + 例外);
この要素の値 (req.getRequestURL()) は、適切にサニタイズまたは検証されずにコードを通過し、最終的には handleError に監査ログを書き込む際に使用されます。
\n\r 文字を削除しようとしましたが、成功しませんでした。
同じものを検索するさまざまなサイトを調べましたが、役立つコンテンツが見つかりませんでした. 誰でもこれの解決策またはそれを修正するための小さなガイドを説明してください。
ありがとう
security - Logback で CRLF (キャリッジ リターンとライン フィード) を回避する方法 - CWE 117
Logback を使用していますが、ユーザー パラメータをログに記録するときに CRLF (キャリッジ リターンとライン フィード) を避ける必要があります。
ClassicConverter を拡張するクラスを静的マップ PatternLayout.defaultConverterMap に追加しようとしましたが、うまくいきませんでした。
ありがとうございました、
java - Log Forging Fortify の問題を解決できない
Fortify で Log Forging の問題を解決できません。「検証されていないユーザー入力をログに書き込む」という問題は、getLongFromTimestamp() メソッドの両方のロギング呼び出しから発生しています。
cleanLogString() メソッドは、私のプロジェクトの他の Log Forging Fortify の問題を修正しましたが、上記の 2 つには影響しません。
どんな助けでも大歓迎です!