Springboot项目中解决日志伪造笔记

最新推荐文章于 2024-06-11 10:31:58 发布
最新推荐文章于 2024-06-11 10:31:58 发布
阅读量994 收藏 3
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53121751/article/details/126676669
版权

情况:

当你接收的参数中有包含特殊字符的时候,就有可能出现日志伪造

String val = request.getParameter("val");

try {

  int value = Integer.parseInt(val);

}catch (NumberFormatException nfe) {

  log.info("Failed to parse val = " + val);

}

比如上面你接收的val=“abc”,那么日志输出为:

INFO: Failed to parse val=abc

但是如果接收的参数为val=abc%0a%0aINFO:+User+logged+out%3driemann,日志输出就会发生变化:

INFO: Failed to parse val=abc

INFO: User logged out=riemann

因为特殊字符有特殊意义,并不是当作普通字符串去处理了

解决办法:编写工具类,过滤掉特殊字符就行

/**
 * Log Forging漏洞校验
 * @param logs
 * @return
 */
public static String vaildLog(String logs) {
    List<String> list = new ArrayList<String>();
    list.add("%0a");
    list.add("%0A");
    list.add("%0d");
    list.add("%0D");
    list.add("\r");
    list.add("\n");
    String normalize = Normalizer.normalize(logs, Normalizer.Form.NFKC);
    for (String str : list) {
        normalize = normalize.replace(str, "");
    }
    return normalize;
}

只用于记录笔记,避免遗忘

努力的小玖心
关注
微服务学习笔记1-SpringBoot
aoliaoliaoo的博客
03-30 3594
SpringBoot 1、SpringBoot简介 SpringBoot是一个javaweb的开发框架,简化开发,约定大于配置! SpringBoot的主要优点: 让Spring开发者更快的入门 开箱即用,提供各种默认配置来简化项目配置 内嵌式容器简化Web项目 没有冗余代码生成和XML配置的要求 2、微服务简介 单体架构:打包成一个独立的单元(导入一个jar包或者是一个war包)部署完成应用之后,应用通过一个进程的方式来运行,例如,MVC三层架构 微服务架构:一个大型的复杂软件应用,由一个或者多个微
SpringBoot入门(Web服务端笔记
weixin_43261862的博客
02-05 1199
SpringBoot 第一节课 1.图例 2.三大组件 Servlet 作用 接受请求–>处理请求–>返回响应 流程 客户端发送请求到服务端 服务端将请求消息发送给Servlet Servlet生成响应发送给服务器 服务器将响应发送给客户端 Filter 作用 过滤请求和响应 流程 1.请求进入Filter,执行相关操作 2.判断通行,进入Servlet,执行完毕,再返回给Filter,最后返回请求方 3.判断失败,直接返回失败结果 Listener
Fortify漏洞之 Log Forging(日志伪造
arkqyo2595的博客
05-14 1636
  继续对Fortify的漏洞进行总结,本篇主要针对Log Forging(日志伪造)的漏洞进行总结,如下: 1.1、产生原因: 在以下情况下会发生 Log Forging 的漏洞: 1. 数据从一个不可信赖的数据源进入应用程序。 2. 数据写入到应用程序或系统日志文件。   为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。...
自动修复360代码卫士扫描出来的日志伪造和删除main方法
朱晓龙的博客
11-07 1726
项目经过360代码卫士扫描以后或多或少有些漏洞,既然公司要求扫描,那就会要求修复,进入正题,如文章标题,本篇文章主要涉及一个jar包工具,功能主要实现如下功能: 解决项目360扫描出来的【输入验证》日志伪造】漏洞 解决前: logger.debug(“xxxxx”+message); 解决后: String logDebugStr = StringEscapeUtils.escapeE...
CWE-117日志伪造漏洞
weixin_44689968的博客
04-14 2065
CWE-117日志伪造漏洞 1.日志伪造日志条目包含未经过授权的用户输入时,会造成日志伪造。攻击者可以通过向应用程序提供包含特殊字符的内容,在日志文件插入错误的条目。当日志文件自动处理时会将恶意条目写入日志文件,错误的日志条目会破坏文件格式,可以由此掩盖攻击者的入侵轨迹。或者通过回车符和换行符构造输入,将合法的日志条目进行拆分。 2.日志伪造的危害 利用该漏洞可以跨越信任边界获取敏感数据,攻击者将脚本注入日志文件,在使用 Web 浏览器查看文件时,浏览器可以向攻击者提供管理员 Cookie 的
【web漏洞百例】1.日志伪造、堆检查
热门推荐
程序猿之洞
03-16 1万+
一、日志伪造(Log Forging) 描述: 将未经验证的用户输入写入日志文件可致使攻击者伪造日志条目或将恶意信息内容注入日志。 举例: 在以下情况或发生“日志伪造”的漏洞: 1.数据从一个不可信的数据源进入应用程序 2.数据写入到应用程序或系统日志文件 为了便于以后的审阅、统计数据或调试,应用程序通常使用日志文件来存储事务的历史记录。根据 应用程序自身的特性,审阅日志
避免日志伪造漏洞_如何以编程方式伪造您的位置并避免被公司跟踪
weixin_26638123的博客
08-25 772
避免日志伪造漏洞In the Navigine team, we’ve been providing indoor and outdoor positioning mobile technologies that enable advanced indoor navigation and proximity solutions for eight years. 在Navigine团队,我们提供室...
SpringBoot项目解决Fortify漏洞Log Forging日志伪造
riemann_的博客
06-22 5515
一、例子 下列 Web 应用程序代码会尝试从一个请求对象读取整数值。如果数值未被解析为整数,输入就会被记录到日志,附带一条提示相关情况的错误消息。 String val = request.getParameter("val"); try {   int value = Integer.parseInt(val); }catch (NumberFormatException nfe) {...
springboot412笔记记录分享网站--论文pf.zip
06-01
在“springboot412笔记记录分享网站--论文pf.zip”这个压缩包,我们可以推测其包含了关于SpringBoot 4.1.2版本的学习笔记和可能与论文撰写相关的资料。这可能是某位开发者或讲师在学习和实践SpringBoot过程积累...
SpringBoot 教程详解 项目演示 资源整合 个人总结 狂神笔记(上)
super_song的博客
04-17 1030
文章目录学习索引一、SpringBoot 简介1.回顾 Spring2.SpringBoot 简介发展历史SpringBoot 特点3.微服务二、快速创建 SpringBoot 项目项目环境项目创建方式项目结构简要分析项目打包补充分析修改 banner三、SpringBoot 原理详解1.SpringBoot 自动装配pom.xml启动器主程序2.SpringBoot 启动原理SpringApplication3.SpringBoot 配置文件概念yaml 概述字面量:普通的值 [ 数字,布尔值,字符串
SpringBoot 教程详解 项目演示 资源整合 个人总结 狂神笔记(下)
super_song的博客
04-19 974
文章目录十一、Shiro1.Shiro 简介什么是 shiro有哪些功能Shiro架构(外部)Shiro 架构(内部)2.快速使用Subject 分析3.SpringBoot 集成 ShiroSpringBoot整合Shiro环境搭建Shiro实现登录拦截Shiro实现用户认证Shiro整合MybatisShiro实现用户授权Shiro整合Thymeleaf完整代码Shiro 个人理解十二、SpringBoot 开源项目十三、Swagger1.Swagger简介2.SpringBoot集成Swagger创建
spring-boot日志框架漏洞修复
专注Java(全栈)应用开发,求知若渴,虚心若愚,talk is cheap, show me the code.
08-12 509
Configuration后面的status,这个用于设置log4j2自身内部的信息输出,可以不设置,当设置成trace时,你会看到log4j2内部各种详细输出。日志级别以及优先级排序: OFF > FATAL > ERROR > WARN > INFO > DEBUG > TRACE > ALL。格式化输出:%date表示日期,%thread表示线程名,%-5level:级别从左显示5个字符宽度 %msg:日志消息,%n是换行符。低于2.6.2的版本都存在log4j注入漏洞。输出控制台日志的配置。...
java项目日志解决方案
DCHAO的博客
12-25 2267
Java项目开发过程免不了要使用日志系统,据调查,java项目10%的代码是日志代码。 目前比较主流的日志系统有slf4j、log4j、log4j2、logback。那么这些日志系统究竟有什么联系和区别呢? Slf4j,全称是Simple Loging Facade For Java,仅仅是一个为Java程序提供日志输出的统一接口,因为日志具有很强的标准性,所以发明了Slf4j来方便的切换不同的日志底层实现。相当于一个框架接口,Log4j、LogBack相当于框架实现。 log4j于2015年停止更新
这份日志格式规范,拿走不谢(Java版)
Java知音
04-28 709
点击关注公众号,实用技术文章及时了解来源:blog.csdn.net/lk142500/article/details/804249451 简介在程序日志是一件非常重要,但是很容易被开发人员忽视的地方。写好程序的日志可以帮助我们大大减轻后期维护压力。在实际的工作开发人员往往迫于巨大时间压力,而写日志又是一个非常繁琐的事情,往往没有引起足够的重视。开发人员应在一开始...
伪装的IP地址,防止攻击行为被安全日志记录以及攻击溯源的方法有哪些
为了生活,不得不努力奋斗!
02-14 129
请注意,以下只是与ChatGPT的对话伪装的IP地址,防止攻击行为被安全日志记录以及攻击溯源的方法有哪些?? 使用IP欺骗:在攻击时,采用虚构IP地址进行伪装,以避免被记录在安全日志; 使用TTL技术:TTL(Time to Live)技术可以让攻击者伪装出不同源IP地址,减少安全威胁被日志系统跟踪; 使用IP Fragment:在IP地址的传输过程,采用分片技术来伪装IP地址,...
Java - 别在 Java 代码里乱打日志了,项目这样打印日志才足够优雅!
最新发布
牧码的博客
06-11 1335
Java - 别在 Java 代码里乱打日志了,项目这样打印日志才足够优雅!
Java代码漏洞检测-常见漏洞与修复建议
dzqxwzoe的博客
05-29 2475
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全文版)③项目源码(四五十个有趣且经典的练手项目及源码)
[20][03][71] Log Forging
安全新司机
12-20 1875
文章目录1. 描述2. 复现问题3. 修复方案 1. 描述 Log Forging 是日志伪造漏洞 在日常开发为了便于调试和查看问题,需要通过日志来记录信息,java 常见的日志组件 log4j, logback 等 查看日志文件可在必要时手动执行,也可以自动执行,即利用工具自动挑选日志的重要事件或带有某种倾向性的信息,如果攻击者可以向随后会被逐字记录到日志文件的应用程序提供数据,则可能会妨碍或误导日志文件的解读 如果日志文件是自动处理的,那么攻击者就可以通过破坏文件格式或注入意外的字符,从而使文件无
安全漏洞学习和累积
qq_36236038的博客
10-28 204
1.日志伪造 Log forging 2 SQL注入
开发springboot项目时我们一般会遇到哪些线上问题
05-10
开发Spring Boot项目时,可能会遇到以下一些常见的线上问题: 1. 性能问题:应用程序可能会出现性能问题,如响应时间延长、内存泄漏等。处理性能问题需要对应用程序进行性能测试、代码审查和基准测试等。 2. 安全问题:应用程序可能会受到各种安全威胁,如SQL注入、跨站点脚本攻击(XSS)、跨站点请求伪造(CSRF)等。处理安全问题需要采取多种安全措施,如输入验证、输出编码、安全配置等。 3. 部署问题:应用程序可能会在部署过程出现问题,如配置错误、依赖项冲突等。解决部署问题需要进行系统测试、部署自动化等。 4. 日志问题:应用程序可能会在日志记录方面出现问题,如日志记录不完整、日志记录过多等。处理日志问题需要进行日志配置和调整。 5. 数据库问题:应用程序可能会出现数据访问问题,如数据库性能问题、数据一致性问题等。处理数据访问问题需要进行数据库优化、数据缓存等。 6. 异常问题:应用程序可能会出现各种异常,如空指针异常、数据库异常等。处理异常问题需要进行异常处理和日志记录等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值