防CRLF log 注入

最新推荐文章于 2023-10-26 23:40:05 发布
最新推荐文章于 2023-10-26 23:40:05 发布
阅读量4.9k 收藏
点赞数
分类专栏: j2ee
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gjswxhb/article/details/8112957
版权
本文介绍了如何防止CRLF注入攻击,特别是在日志记录中。通过使用Apache的StringEscapeUtils.escapeHtml方法转义HTML实体,以及利用代理模式改进LogConfig类,以确保日志的安全性和代码的可维护性。同时,强调了CRLF注入对数据完整性的影响以及建议的防护措施,包括输入过滤和输出转义。
摘要由CSDN通过智能技术生成 
 


在项目开发时经常会用到第三方的代码包,当我们在代码重用时注意,像这种开源的第三方类的修改是不受控的,直接应用它时,留下了隐患。

应将其隐藏尽量避免其在项目代码中扩散,遵守“开扩展,闭修改”原则。组合、代理都是很好的方式。

Log4j是Apache的一个开放源代码项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件、甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。并可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。由于其用途的强大和简易,在开发中被经常使用,如下下面这段代码:

import java.net.InetAddress;
import java.net.UnknownHostException;
import org.apache.log4j.LogManager;
import org.apache.log4j.Logger;
import org.apache.log4j.MDC;
import org.apache.log4j.helpers.LogLog;
import org.apache.log4j.xml.DOMConfigurator;

public final class LogConfig
{
    private static LogConfig lconfig = null;
    public Logger mart_log = null; // 组合,
    ...

上面显示了LogConf

最低0.47元/天 解锁文章
物润声无
关注
专栏目录
CRLF Injection (CRLF注入)
课嗨教育的专栏
06-20 1391
漏洞简介 CRLF是”回车 + 换行”(\r\n)的简称。在HTTP协议中,HTTP Header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP 内容并显示出来。所以,一旦能够控制HTTP 消息头中的字符,注入一些恶意的换行,这样就能注入一些会话Cookie或者HTML代码,所以CRLF Injection又叫HTTP Response Splitting,简称HRS。HRS是比XSS危害更大的安全问题。 形成原理 在HTTP协议中,HTTP头是通过”\r\..
解决CRLF日志注入
boson123的专栏
03-15 5358
CRLF 简介 CRLF的含义是回车和换行。这些元素嵌入在HTTP标头和其他软件代码中,以表示行尾(EOL)标记。当攻击者能够将CRLF序列注入HTTP流时,就会出现漏洞。通过引入这种意外的CRLF注入,攻击者能够恶意利用CRLF漏洞来操纵Web应用程序的功能。 CRLF 攻击示例 攻击者通过接口访问网站时,可以在参数中添加\r\n,然后再输入“connect failed”之类的误导性信息,如果攻击成功的话,日志中就会出现换行,在新行中出现“connect failed”,这样,就有可能导致管理员花
log4j 安全问题验证demo & CRLF注入漏洞
weixin_42299862的博客
12-31 7755
一、环境准备 https://blog.csdn.net/weixin_42299862/article/details/111993837 二、demo 1、使用 @Log4j2 log.error() 打印异常日志是否会泄露敏感信息? https://www.cnblogs.com/huanghuanghui/p/11775731.html https://www.cnblogs.com/qlqwjy/p/7192947.html 代码如下 如果有红线语法错误,参考https://blog.csdn.n
CRLF 注入攻击介绍和
han_code的博客
05-15 6639
目录 1、什么是CRLF攻击 2、CRLF注入的关键概念 3、通过实例解释CRLF注射 4、CRLF注入的修复建议 1、什么是CRLF攻击 CRLF的含义是“carriage return/line feed”,意思就是回车和换行。这是两个ASCII字符,分别排在第十三和第十位。 CRLF指的是特殊字符元素“回车”和“换行”。这些元素嵌入在HTTP标头和其他软件代码中,以...
CRLF注入攻击原理和范措施
lgdbk的专栏
06-19 910
CRLF注入攻击并没有像其它类型的攻击那样著名。但是,当对有安全漏洞的应用程序实施CRLF注入攻击时,这种攻击对于攻击者同样有效,并且对用户造成极大的破坏。让我们看看这些应用程序攻击是如何实施的和你能够采取什么措施保护你的机构。 CRLF的含义是“carriage return/line feed”,意思就是回车。这是两个ASCII字符,分别排在第十三和第十位。CR和LF是在计算机终端还是电传
crlf注入
Vdieoo的博客
02-12 342
0x00 背景 CRLFInjection很少遇见,这次被我逮住了。我看zone中(http://zone.wooyun.org/content/13323)还有一些同学对于这个漏洞不甚了解,甚至分不清它与CSRF,我详细说一下吧。 CRLF是”回车+换行”(\r\n)的简称。在HTTP协议中,HTTPHeader与HTTPBody是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能...
java代码审计-换行符CRLF注入
最新发布
shelter1234567的博客
10-26 648
回车换行也会引发漏洞!...............
CRLF注入攻击与
鹤啸九天
08-28 4037
一、概念: CRLF的概念源自打字机,表明行的结束,转译字符是\r\n,计算机出现后沿用了这个概念。 CR:回车符的MCS字符,转译字符是\r,ASCII码十进制是13,ASCII码十六进制是0D; LF:换行符的MCS字符,转译字符是\n,ASCII码十进制是10,ASCII码十六进制是0A; 回车符可以让光标移到当前行的开...
【应用安全之日志注入log4j止日志注入
qq_35789269的博客
12-19 1780
日志注入
关于log4j2漏洞 jndi 注入问题
weixin_42578316的博客
12-13 584
log4j2 jar包引入 <!-- log4j2日志 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-log4j2</artifactId> </dependency>
java止脚本注入,通过拦截器实现
混魔MJM的博客
08-20 3939
1:利用action过滤 package com.tsou.comm.servlet; import java.util.Enumeration; import java.util.Map; import java.util.Vector; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.Ht
详解CRLF注入攻击的原理和其范措施
许立峰的专栏
11-14 6302
CRLF注入攻击并没有像其它类型的攻击那样著名。但是,当对有安全漏洞的应用程序实施CRLF注入攻击时,这种攻击对于攻击者同样有效,并且对用户造成极大的破坏。让我们看看这些应用程序攻击是如何实施的和你能够采取什么措施保护你的机构。 CRLF的含义是“carriage return/line feed”,意思就是回车。这是两个ASCII字符,分别排在第十三和第十位。CR和LF是在计算机终端还是电传打
[实践总结] 解决日志注入问题的一次实践(log4j2)
张紫娃的博客
04-05 2657
代码验证:发现日志被注入 代码验证:\n\r被替换为_,日志不会被注入 优劣: 优:确实会避免日志注入 劣:代码冗余+代码泛滥 代码验证:enc 会对 CRLF 进行转义,从而避免日志注入 优劣: 优:确实会避免日志注入,而且通过修改配置,避免了代码冗余和代码泛滥 劣:日志文件里依旧会有,如果我们的日志需要被日志可视化服务读取,他们可能会被我们日志注入,这种直观看来感觉就是我们写入日志出问题。主体思路:替换操作语法格式:CRLF转义后的枚举值列举: 代码验证:CRLF 被置换为空 优劣: 优:避免
Spring Boot 应对 Log4j2 注入漏洞指南
u014389734的博客
12-31 252
Log4J2漏洞涉及的影响太广了,昨天发文后很多粉丝留言问Spring Boot项目是否受到Log4J2漏洞影响。Spring官方已经全面进行了排查,现在大家可以知道这些信息和应对方法。 默认配置不受影响 Spring Boot默认日志组件是logback,开发者通过日志门面Slf4j进行集成对接。Spring Boot 用户只有在将默认日志系统切换到 Log4J2 时才会受到此漏洞的影响。Spring Boot包含的log4j-to-slf4j和log4j-api、spring-boot-start
log4j命令注入漏洞复现
weixin_42891146的博客
12-11 7090
漏洞描述 Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、ElasticSearch、Flume、Dubbo、Redis、Logstash、Kafka均受影响。 影响范围: Apache Log4j 2.x < 2.15.0-rc2 漏洞复现: 使用Log4j2漏洞环境进行...
SLF4J错误的最大可能性
小伙伴开发网 java android ios程序员技术交流
06-26 3954
1、 NoSuchMethodError:org.slf4j.spi.LocationAwareLogger.log(Lorg/slf4j/Marker;Ljava/lang/String;ILjava/lang/String;Ljava/lang/Throwable;)V ...  2、java.lang.ClassNotFoundException: org.apache.log4j
2020-11-18
luanjuan的博客
11-18 335
sonar 出现一下问题Use try-with-resources or close this “Jedis” in a “finally” clause. 解决办法
crlf注入漏洞复现
08-09
CRLF注入漏洞是一种常见的网络安全漏洞,它在代码中未对输入进行正确的过滤和验证,导致攻击者可以利用换行符(CRLF:Carriage Return Line Feed)来执行恶意代码或实施其他攻击。 要复现CRLF注入漏洞,首先需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值