问题描述
日志伪造漏洞,攻击者通过伪造或其他方式将恶意数据追加到日志内容中,可能会导致日志文件中的信息发生偏差,受到破坏的日志文件可用于掩护攻击者的跟踪轨迹,甚至还可以牵连第三方来执行恶意行为。最糟糕的情况是,攻击者可能利用日志处理应用程序中的漏洞,向日志文件注入代码或者其他命令。
Bad Code
logger.info("response data : {} ", responseBean.getData());
解决方案
logger.info(
问题描述
日志伪造漏洞,攻击者通过伪造或其他方式将恶意数据追加到日志内容中,可能会导致日志文件中的信息发生偏差,受到破坏的日志文件可用于掩护攻击者的跟踪轨迹,甚至还可以牵连第三方来执行恶意行为。最糟糕的情况是,攻击者可能利用日志处理应用程序中的漏洞,向日志文件注入代码或者其他命令。
Bad Code
logger.info("response data : {} ", responseBean.getData());
解决方案
logger.info(