Log文件显示敏感信息的问题

最新推荐文章于 2024-05-08 10:14:03 发布
最新推荐文章于 2024-05-08 10:14:03 发布
阅读量1k 收藏
点赞数
分类专栏: ROR 文章标签: Rails
今天客户提出一个log里面显示了用户登录是显示了密码明文的问题,这些东西非常危险,恶意的人总是能想办法(这个办法很多,比如旁注等)拿到你的日志文件,而这个日志文件比起加密的数据库文件还要危险。
复制下面这行代码到ApplicaitonController Class中
filter_parameter_logging "password"
问题就解决了,log中显示为:
Processing HomeController#login (for 127.0.0.1 at 2007-12-14 15:20:53) [POST]
Session ID: a259eade57197f761fd6fbcbf76ddcdc
Parameters: {"commit"=>"登录", "action"=>"login", "username"=>"admin", "controller"=>"home", "password"=>"[FILTERED]"}
另外,如果想在开发环境下显示POST logging,但是在产品环境下完全不显示,可以改为:
filter_parameter_logging("password") if RAILS_ENV == "production"
这样就可以了。
如果想在产品环境完全禁止POST logging,则可以在production.rb中修改:
config.log_level = :warn


SO GOOD~!
ghost138
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[车联网安全自学篇] Android安全之Log日志敏感信息泄露+自定义URL敏感信息泄露挖掘
橙留香Park的博客
08-15 1057
常见的Android系统中,各种日志默认是被集中式管理的。但市面上也有许多可用来开发Android应用的工具,能够让应用开发程序员们编写出自定义的日志消息,以及特定日志语句定义的各种过滤器。目前,Android生态系统提供了不同类型的日志,其中包括:应用日志、系统日志、事件日志、以及广播日志(Radio Logs) 日志记录系统的组成包括:内核驱动程序和内核缓冲区(用于存储Android日志消息),可用于创建日志条目和访问日志消息的C、C++和Java类,可用于查看日志消息(logcat)的独立程序,以及
Android打印日志:Rlog敏感信息的处理
diangangqin的博客
07-16 3124
软件工程师每天最主要的工作应该就是开发和解BUG了,而解BUG的时间应该远远高于开发的时间,无论你开发的质量有多高。可能不是你的模块引起的问题,但是需要你来帮忙分析,才能推动问题的解决。Android平台framework层打印log大部分都是采用的Rlog.java中函数族,Rlog.d,Rlog.w,Rlog.i等等。 Rlog.java中提供了pii函数(personally identif...
logback日志pattern_logback日志掩盖敏感信息
weixin_39922769的博客
12-31 891
/*** 对敏感信息进行掩盖。* 1.实现原理* 对产生的日志信息,进行正则匹配和替换。* * 2.目前包括如下类型的信息:银行卡号、电话、身份证和邮箱。* * 3.如何进行扩展新的正则类型* (1)在PatternType枚举中新增一个正则* (2)extractMatchesByType对新增的正则做处理* (3)maskByType对新增的正则做处理* */public class Mask...
致远M3 log 敏感信息泄露漏洞
最新发布
一个努力学习网安的小牛马
05-08 416
session信息泄露
万物皆可fuzz之Log中的敏感信息
weixin_40418457的博客
05-04 295
几年前的私密项目漏洞,看了看厂商都倒闭了,也不涉及敏感信息就脱敏发出来,希望和大家一起共同学习 1. 信息收集 通过对目标服务器进行信息手机发现目标为 Tomcat中间件(这个很重要) ➜ curl xxxx.target.cn -I [2021-03-26 18:12:41] HTTP/1.1 200 OK Accept-Ranges: bytes ETag: W/"273-1493787475340" Content-Type: text/html Content-Length: 2
敏感信息加密处理
weixin_34015860的博客
03-16 1860
版权声明:本文为博主原创文章,转载请注明出处,欢迎使劲喷 一、敏感信息加密处理我们要实现什么 系统往往需要将用户敏感信息进行加密,不同的敏感信息加密要求不同。 比如,密码的加密,我们往往不需要是可逆的。用户输入密码后,通过系统的加密规则,编码后直接比对加密存储的密码,获得比对结果即可证明用户登录信息合法性。 然后,有时我们为了防止被脱库导致的数据泄漏,不得不对一些敏感信息(比如:身份证号、...
EasyLogger 高性能的 C/C++ 日志库,源代码
03-20
EasyLogger 是一款超轻量级(ROM, RAM)、高性能的 C/C++ 日志库,非常适合对资源敏感的软件项目,例如: IoT 产品、可穿戴设备、智能家居等等。相比 log4c、zlog 这些知名的 C/C++ 日志库, EasyLogger 的功能更加...
058-红队渗透下的tp技巧.pdf
09-20
红队渗透下的TP技巧 title: 红队渗透下的TP技巧 本文主要讨论红队渗透下的TP技巧,包括TP5的渗透要点、Debug模式下的数据连接、Log文件的利用、 Cache文件名...这些技术可以用来攻击目标TP,获取目标TP的敏感信息
rar压缩软件.rar
02-13
RAR 是一个让你在命令行模式中管理压缩文件的控制台应用。RAR 提供压缩、加 密、数据恢复和许多其它此... 'lt' 以多行模式显示详细的文件信息。此信息包括文件校验和值、主机 OS、压缩选项和其他参数。 'lta' 不仅...
WinRAR_4.0.exe
02-04
Windows 的版本 RAR 从 rar.ini 文件读取配置文件信息,它放在 rar.exe 文件相 同的目录中。 这个文件包含下列字符串: switches=任何 RAR 开关,用空格分开 例如: switches=-m5 -s 环境变量 可以...
Easylogger轻量级日志的 linuxdemo
06-24
EasyLogger 是一款超轻量级(ROM, RAM)、高性能的 C/C++ 日志库,非常适合对资源敏感的软件项目,例如: IoT 产品、可穿戴设备、智能家居等等。相比 log4c、zlog 这些知名的 C/C++ 日志库, EasyLogger 的功能更加...
[安全开发]日志敏感信息检测-1-身份证
白夜的随笔
09-27 2027
前言 身份证号码格式 正则提取 地址码校验 校验码校验 优化思考 前言 防止敏感信息泄漏,保护用户和企业信息隐私,是企业安全中重要的环节。 通过检测日志中的敏感信息,能够: 排查潜在的泄漏敏感信息的系统和接口,防止被黑产恶意利用,盗取用户敏感信息 检查数据传输、日志打印的规范,是否对敏感信息有做加密、打码等处理 对于海量日志的敏感信息检测,可以采用Flink流数据处理引擎,进行检测排查。 本文不讨论Flink,只记录日志中身份证号码检测规则的一点心得。 身份证号码格式 一代身份证基本不存在了,.
log中的关键词过滤的酷炫
bukaiwen的专栏
03-26 3211
其实:酷炫=高亮 酷炫的log关键词 = 不伤眼睛
nginx log 敏感信息过滤
weixin_33924220的博客
04-27 1821
有时我们会通过url传递一些敏感信息如token等,同时又不希望这些信息被记录在nginx的log(可能会分发给数据处理或解决bug的人)里。 这时需要过滤url.具体方法如下 http{ log_format main '$remote_addr - $remote_user [$time_local] "$request" ' ...
logback日志实现 敏感数据脱敏
四戒哥特
03-05 2392
logback.xml 中 添加 <conversionRule conversionWord="msg" converterClass="com.common.utils.SensitiveDataConverter"> </conversionRule> import ch.qos.logback.classic.pattern.MessageConverter; import ch.qos.logback.classic.spi.ILoggingEven...
Exception Management Architecture Guide
Scott Chan's Column
06-23 1051
Exception Management Architecture Guide Related Links patterns and practices Index Application Architecture for .NET: Designing Applications and Services Kenny Jones, Edward Jezierski, Jason Hogg
Docker常用软件安装之Redis,java核心技术卷电子版
m0_64384202的博客
12-26 8037
Creating a pid file is best effort: if Redis is not able to create it nothing bad happens, the server will start and run normally. pidfile /var/run/redis_6379.pid Specify the server verbosity level. This can be one of: debug (a lot of information, useful f
敏感信息泄露
LainWith的博客
08-24 6435
目录0x01 漏洞简介0x02 漏洞是怎么发生的0x03 漏洞危害0x04 测试方法操作系统版本中间件的类型、版本Web敏感信息网络信息泄露第三方软件应用敏感信息搜集工具0x05靶机演示错误信息导致的信息泄露调试数据导致的信息泄露备份文件导致的信息泄露由于配置不当引发的信息泄露0x06 实战演示漏洞描述获取目标漏洞复现0x07漏洞修复参考 0x01 漏洞简介 敏感数据包括但不限于:口令、密钥、证书、会话标识、License、隐私数据(如短消息的内容)、授权凭据、个人数据(如姓名、住址、电话等)等。 在程序
mysql 慢查询日志文件怎么看
05-27
MySQL 慢查询日志文件可以使用以下两种方式查看: 1. 直接打开慢查询日志文件,在其中查找慢查询语句。慢查询日志文件的默认...无论使用哪种方式,都需要注意保护慢查询日志文件的安全性和隐私性,避免泄露敏感信息

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值