CWE-117: Improper Output Neutralization for Logs

于 2023-11-22 23:24:28 发布
阅读量380 收藏 1
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44320027/article/details/134565383
版权

如何修复Veracode CWE 117 (日志的输出中性不正确)

当Veracode静态分析检测到应用程序正在基于来自应用程序外部的数据编写日志消息时,它会报告CWE 117(“日志中毒”)。

这可能是来自HTTP请求、数据库甚至文件系统的数据。令人担忧的是,如果使用基于文件的日志记录,攻击者可能会使用空白字符,如回车符(CR)和换行符(LF),将自己的日志行注入应用程序日志。这些字符通常分别表示为\r\n和\r\n,或者用十六进制0x0D、0x0A表示。

在攻击过程中,这可能会被用来污染日志文件,从而无法知道哪些日志条目来自应用程序,哪些来自攻击者。由于日志完整性已丢失,日志文件在审计方面的用处可能会大大降低。

log.error( transactionId + " for user " + username + " was unsuccessful."

如果任何一个变量都在用户控制之下,它们就可以通过使用\r\n for user foobar was successful\rn之类的输入注入假日志语句,从而允许它们伪造日志并掩盖它们的踪迹。

大多数新手会想知道应该使用什么方法从logger语句中传递的变量中删除CRLF。但是replaceAll()也不能解决这个问题,因为它不是Veracode批准的方法。Veracode推荐使用ESAPI对log进行处理,但是我并不想因为这个原因而引入ESAPI这个组件,那么就不得不寻求另外的方法。

在我的例子中,我使用了org.apache.commons.lang.StringEscapeUtils.escapeJava(),这成功解决了我的问题

log.error(StringEscapeUtils.escapeJava(transactionId) + " for user " + StringEscapeUtils.escapeJava(username) + " was unsuccessful."

当异常处理程序类面临问题时,可以使用org.apache.commons.lang.ExceptionUtils.getStackTrace()

log.error(ExceptionUtils.getStackTrace(ex));

参考链接:https://community.veracode.com/s/article/How-to-Fix-CWE-117-Improper-Output-Neutralization-for-Logs

lukis-tsai
关注
CWE ID 117Improper Output Neutralization for Logs
Aron2278的博客
08-11 1090
问题描述 日志伪造漏洞,攻击者通过伪造或其他方式将恶意数据追加到日志内容中,可能会导致日志文件中的信息发生偏差,受到破坏的日志文件可用于掩护攻击者的跟踪轨迹,甚至还可以牵连第三方来执行恶意行为。最糟糕的情况是,攻击者可能向日志文件注入代码或者其他命令,利用日志处理应用程序中的漏洞。 Bad Code logger.info("response data : {} ", responseBean.getData()); 解决方案 logger.info("response data : {} ", Enco
【悟空云课堂】第十期:日志伪造漏洞(CWE-117: Improper Output Neutralization for Logs)
Tianqi_Wukong的博客
01-20 841
什么是日志伪造漏洞? 应用程序通常使用日志文件来存储事件或事务的历史,以供以后查看、收集统计信息或调试。根据应用程序的性质,检查日志文件的任务可以根据需要手动执行,也可以使用工具自动筛选重要事件或趋势信息的日志。 当日志条目包含未经过授权的用户输入时,会造成日志伪造。 日志伪造漏洞的构成条件有哪些? 满足以下条件,就构成了一个日志伪造的安全漏洞: 1、数据是从不可靠的来源(包括但不局限于不可靠用户的输入信息或是不可靠用户可能更改的文件)进入应用程序; 2、数据写入到应用程序或是系统日志文件。 日志伪造漏洞会
CWE-117日志伪造漏洞
weixin_44689968的博客
04-14 2164
CWE-117日志伪造漏洞 1.日志伪造 当日志条目包含未经过授权的用户输入时,会造成日志伪造。攻击者可以通过向应用程序提供包含特殊字符的内容,在日志文件中插入错误的条目。当日志文件自动处理时会将恶意条目写入日志文件,错误的日志条目会破坏文件格式,可以由此掩盖攻击者的入侵轨迹。或者通过回车符和换行符构造输入,将合法的日志条目进行拆分。 2.日志伪造的危害 利用该漏洞可以跨越信任边界获取敏感数据,攻击者将脚本注入日志文件,在使用 Web 浏览器查看文件时,浏览器可以向攻击者提供管理员 Cookie 的
slf4j、log4j日志报错排查
常敲代码手不生
02-01 1654
1、WARN Please initialize the log4j system properly 解法:只要在 src文件目录下建立配置文件log4j.properties即可 2、SLF4J: Failed to load class "org.slf4j.impl.StaticLoggerBinder" 解法:这是因为sl4j和log4j的不兼容导致的,具体处理方案如下: 首先看看你工程中的sl4j-api的版本(比如我的是1.7.21),然后在http://mvnrepository.co.
java.util.logging简介
切克闹的博客
05-05 1409
Improper Output Neutralization for Logs (CWE ID 117) java.util.logging.Logger
【悟空云课堂】第十二期:LDAP注入漏洞(CWE-90: Improper Neutralization of Special Elements used in an LDAP Query)
Tianqi_Wukong的博客
01-20 912
【悟空云课堂】第十二期:LDAP注入漏洞 什么是LDAP注入漏洞? LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,提供访问目录数据库方法的服务和协议,常用于与目录数据库组成目录服务。其中目录是一个为查询、浏览和搜索而优化的专业分布式数据库,它呈树状结构组织数据,就好象Linux/Unix系统中的文件目录一样。目录数据库和关系数据库不同,不适于存储修改频繁的数据。 类似以下的信息适合储存在目录中: 企业员工信息,如姓名、电话、邮箱等; 公用证书
CWE ID 113: Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Response Splitting‘)
Aron2278的博客
07-28 961
CWE ID 113: Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Response Splitting’) 问题描述 HTTP响应拆分缺陷,当调用一个存在该缺陷的请求时,很容易受到攻击,将不受信任的内容写入HTTP请求头中,导致缓存中毒和跨站点脚本攻击。 解决方案 1、输入校验 注意规范构建 HTTP 请求头,避免使用未经验证的输入数据,对构建内容进行合法校验,如:设定编码规范(UTF-8)、过滤特殊符号("\n", “
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
NARUTONEPIECE的博客
01-31 531
asp.net/webForm 解决CWE-352: Cross-Site Request Forgery (CSRF)问题
【悟空云课堂】第二十三期:对XML外部实体引用的不当限制(CWE-611 :Improper Restriction of XML External Entity Reference)
Tianqi_Wukong的博客
01-20 808
【悟空云课堂】第二十三期:对XML外部实体引用的不当限制(CWE-611: Improper Restriction of XML External Entity Reference) 什么是对XML外部实体引用的不当限制? 该软件处理的XML文档可能包含带有URI的XML实体,这些URI可以解析为超出预期控制范围的文档,从而导致产品将不正确的文档嵌入其输出中。 XML文档可以选择包含文档类型定义(DTD),该文档类型定义(DTD)除其他功能外,还可以定义XML实体。可以通过提供URI形式的替换字符串来定义
如何消除VeraCode检测中的CRLF Injection Issue(CWE ID 117)
打杂人
05-04 3500
Veracode是一个检测应用程序是否存在安全漏洞的工具,更多细节请访问http://www.veracode.com 这里主要总结一下如何消除Veracode检测结果中的CRLF(Carriage Return, Line Feed) Injection Issue(CWE ID 117)。 首先,先看看VeraCode对CRLF Injection Issue的定义: The a
代码安全_弱点(脆弱性)分析 CWE、漏洞、防御机制
sun0322
03-30 2254
CWE Common Weakness Enumeration ■List ・CWE-117: Improper Output Neutralization for Logs   The software does not neutralize or incorrectly neutralizes output that is written to logs. http://...
SLF4J使用教程以及常见问题解决(最新稳定版)
热门推荐
tttalk的博客
12-27 3万+
1.简介 官网:https://www.slf4j.org/manual.html (1)简单日记门面(simple logging Facade for Java)SLF4J是为各种loging APIs提供一个简单统一的接口。 (2)slf4j并不是一种具体的日志系统,而是一个用户日志系统的facade。 (3)在部署时,选择不同的日志系统包,即可自动转换到不同的日志系统上。 如:选择JDK自带的日志系统,则只需要将slf4j-api-XXX.jar和slf4j-jdkXXX.jar放置到classpa
java代码审计手书(三)
一个码农的笔记
11-24 1万+
翻译自:http://find-sec-bugs.github.io/bugs.htm 翻译:聂心明 在使用脚本引擎的时潜在的代码注入 漏洞特征:SCRIPT_ENGINE_INJECTION 请严格的评估动态代码。应该仔细分析代码的结构。恶意代码的执行会导致数据的泄露或者执行任意系统指令。 如果你想动态的运行代码,那么请找一个沙箱(见引用) 有害的代码: public void runCusto...
xstream xml转对象_【缺陷周话】第 38期——不安全的反序列化:XStream
weixin_39625008的博客
12-11 561
聚焦源代码安全,网罗国内外最新资讯!*声明:《缺陷周话》栏目系列文章由奇安信代码卫士团队原创出品。未经许可,禁止转载。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。代码审计是使用静态分析发现源代码中安全缺陷的方法,辅助开发或测试人员在软件上线前较为全面地了解安全问题,防患于未然,因此一直以来都是学术界和产业界研究的热点,并已成为安全开发生命周期SDL 和DevS...
Java代码审计手册(English)
重新启程
10-14 1万+
Table of Contents Predictable pseudorandom number generator (PREDICTABLE_RANDOM) Predictable pseudorandom number generator (Scala) (PREDICTABLE_RANDOM_SCALA) Untrusted servlet parameter (SERVLET...
Find-Sec-Bugs 漏洞范例
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么
最新发布
06-09
1. CWE-16: Configuration,即配置问题,指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict,即解释冲突,指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值