CWE-117: Improper Output Neutralization for Logs

最新推荐文章于 2023-12-03 17:58:41 发布
最新推荐文章于 2023-12-03 17:58:41 发布
阅读量200 收藏 1
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44320027/article/details/134565383
版权

如何修复Veracode CWE 117 (日志的输出中性不正确)

当Veracode静态分析检测到应用程序正在基于来自应用程序外部的数据编写日志消息时,它会报告CWE 117(“日志中毒”)。

这可能是来自HTTP请求、数据库甚至文件系统的数据。令人担忧的是,如果使用基于文件的日志记录,攻击者可能会使用空白字符,如回车符(CR)和换行符(LF),将自己的日志行注入应用程序日志。这些字符通常分别表示为\r\n和\r\n,或者用十六进制0x0D、0x0A表示。

在攻击过程中,这可能会被用来污染日志文件,从而无法知道哪些日志条目来自应用程序,哪些来自攻击者。由于日志完整性已丢失,日志文件在审计方面的用处可能会大大降低。

log.error( transactionId + " for user " + username + " was unsuccessful."

如果任何一个变量都在用户控制之下,它们就可以通过使用\r\n for user foobar was successful\rn之类的输入注入假日志语句,从而允许它们伪造日志并掩盖它们的踪迹。

大多数新手会想知道应该使用什么方法从logger语句中传递的变量中删除CRLF。但是replaceAll()也不能解决这个问题,因为它不是Veracode批准的方法。Veracode推荐使用ESAPI对log进行处理,但是我并不想因为这个原因而引入ESAPI这个组件,那么就不得不寻求另外的方法。

在我的例子中,我使用了org.apache.commons.lang.StringEscapeUtils.escapeJava(),这成功解决了我的问题

log.error(StringEscapeUtils.escapeJava(transactionId) + " for user " + StringEscapeUtils.escapeJava(username) + " was unsuccessful."

当异常处理程序类面临问题时,可以使用org.apache.commons.lang.ExceptionUtils.getStackTrace()

log.error(ExceptionUtils.getStackTrace(ex));

参考链接:https://community.veracode.com/s/article/How-to-Fix-CWE-117-Improper-Output-Neutralization-for-Logs

lukis-tsai
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【悟空云课堂】第十期:日志伪造漏洞(CWE-117: Improper Output Neutralization for Logs)
Tianqi_Wukong的博客
01-20 770
什么是日志伪造漏洞? 应用程序通常使用日志文件来存储事件或事务的历史,以供以后查看、收集统计信息或调试。根据应用程序的性质,检查日志文件的任务可以根据需要手动执行,也可以使用工具自动筛选重要事件或趋势信息的日志。 当日志条目包含未经过授权的用户输入时,会造成日志伪造。 日志伪造漏洞的构成条件有哪些? 满足以下条件,就构成了一个日志伪造的安全漏洞: 1、数据是从不可靠的来源(包括但不局限于不可靠用户的输入信息或是不可靠用户可能更改的文件)进入应用程序; 2、数据写入到应用程序或是系统日志文件。 日志伪造漏洞会
CWE ID 117Improper Output Neutralization for Logs
Aron2278的博客
08-11 994
问题描述 日志伪造漏洞,攻击者通过伪造或其他方式将恶意数据追加到日志内容中,可能会导致日志文件中的信息发生偏差,受到破坏的日志文件可用于掩护攻击者的跟踪轨迹,甚至还可以牵连第三方来执行恶意行为。最糟糕的情况是,攻击者可能向日志文件注入代码或者其他命令,利用日志处理应用程序中的漏洞。 Bad Code logger.info("response data : {} ", responseBean.getData()); 解决方案 logger.info("response data : {} ", Enco
cwe-tool:基于常见弱点枚举的OWASP CAPSEC数据库的命令行CWE发现工具
05-23
CWE工具 一个基于Common Weakness Enumeration的OWASP / CAPSEC数据库的命令行CWE发现工具。 安装 可通过Node.js工具执行 如果您具有Node.js环境,则可以使用cwe-tool调用cwe-tool tool,如下所示: npx cwe-tool [...command-line options...] 码头工人 从Docker Hub提取图像 docker pull lirantal/cwe-tool docker run --rm lirantal/cwe-tool --search test 本地构建说明 git clone https://github.com/OWASP/cwe-tool docker build -t docker.pkg.github.com/owasp/cwe-tool/cwe-tool . -t ima
java.util.logging简介
切克闹的博客
05-05 1233
Improper Output Neutralization for Logs (CWE ID 117) java.util.logging.Logger
java代码审计手书(三)
一个码农的笔记
11-24 1万+
翻译自:http://find-sec-bugs.github.io/bugs.htm 翻译:聂心明 在使用脚本引擎的时潜在的代码注入 漏洞特征:SCRIPT_ENGINE_INJECTION 请严格的评估动态代码。应该仔细分析代码的结构。恶意代码的执行会导致数据的泄露或者执行任意系统指令。 如果你想动态的运行代码,那么请找一个沙箱(见引用) 有害的代码: public void runCusto...
2021 OWASP Top 10 Web Application Security Risks (2)
最新发布
seanyang_的博客
12-03 224
2021 owasp top10 详解
CWE-117日志伪造漏洞
weixin_44689968的博客
04-14 1846
CWE-117日志伪造漏洞 1.日志伪造 当日志条目包含未经过授权的用户输入时,会造成日志伪造。攻击者可以通过向应用程序提供包含特殊字符的内容,在日志文件中插入错误的条目。当日志文件自动处理时会将恶意条目写入日志文件,错误的日志条目会破坏文件格式,可以由此掩盖攻击者的入侵轨迹。或者通过回车符和换行符构造输入,将合法的日志条目进行拆分。 2.日志伪造的危害 利用该漏洞可以跨越信任边界获取敏感数据,攻击者将脚本注入日志文件,在使用 Web 浏览器查看文件时,浏览器可以向攻击者提供管理员 Cookie 的
如何消除VeraCode检测中的CRLF Injection Issue(CWE ID 117)
打杂人
05-04 3395
Veracode是一个检测应用程序是否存在安全漏洞的工具,更多细节请访问http://www.veracode.com 这里主要总结一下如何消除Veracode检测结果中的CRLF(Carriage Return, Line Feed) Injection Issue(CWE ID 117)。 首先,先看看VeraCode对CRLF Injection Issue的定义: The a
yarn-audit-html:生成用于纱线审核HTML报告
05-10
默认情况下,将生成唯一漏洞列表(按MODULE_NAME , VERSIONCWE分组)。 如果要一一显示全部内容,请添加--no-unique选项: yarn audit --json | yarn-audit-html --no-unique 您还可以通过提供--template选项...
check-cve-2019-19781:测试主机对CVE-2019-19781的敏感性
03-08
check-cve-2019-19781 :magnifying_glass_tilted_right: :lady_beetle: 该实用程序确定主机是否似乎容易受到。 要求 Python 3.6及更高版本。 请注意,不支持Python 2。 安装 从发行版: ... 来自来源: ...
samesite-cookie:使用SameSite Cookie保护您的网站
05-22
选择性/相同站点的cookie 一个PSR-15中间件,用SameSite Cookie保护您的网站 :cookie:要求PHP 7.2+或8.0+安装 composer require selective/samesite-cookieSameSite Cookie 相同站点的cookie(“仅第一方”或“第一...
PyCAPEC-Public:PyCAPEC
06-16
PyCAPEC CAPEC/CWE Mapper 和 Graphiz 可视化工具。 跑步 ./Runner.sh XSS 示例:// ./Runner.sh 搜索:XSS CAPEC: "ID": "86", "Name": "Embedding Script (XSS) in HTTP Headers", "Pattern_Abstraction": ...
2021年OWASP-TOP10
qq_45751902的博客
06-23 960
2021年OWASP-TOP10
Find-Sec-Bugs 漏洞范例
热门推荐
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
Java代码审计手册(English)
重新启程
10-14 1万+
Table of Contents Predictable pseudorandom number generator (PREDICTABLE_RANDOM) Predictable pseudorandom number generator (Scala) (PREDICTABLE_RANDOM_SCALA) Untrusted servlet parameter (SERVLET...
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么
06-09
1. CWE-16: Configuration,即配置问题,指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict,即解释冲突,指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值