#009_过滤日志中的敏感数据

最新推荐文章于 2024-03-04 23:07:37 发布
最新推荐文章于 2024-03-04 23:07:37 发布
阅读量446 收藏
点赞数
分类专栏: Railscasts学习笔记 文章标签: SQL Ruby
当我们注册用户的时候,在日志中会自动保存一些敏感的字段,比如password等。 
Processing LoginController#save (for 127.0.0.1 at 2008-04-08 13:53:22) [POST]
  Session ID: b40f205b38bd05382dc8ef2f362f5d5b
  Parameters: {"user"=>{"password_confirmation"=>"aaaaaa111", "login_name"=>"sora", "display_name"=>"Sora", "password"=>"aaaaaa111"}, "commit"=>"注册", "action"=>"save", "controller"=>"login"}
  User Columns (0.054099)   SHOW FIELDS FROM users
  SQL (0.002521)   SELECT count(*) AS count_all FROM users 
  SQL (0.000291)   BEGIN
  SQL (0.125573)   INSERT INTO users (`content_type`, `pic_name`, `salt`, `hashed_password`, `topics_count`, `personality`, `im`, `login_name`, `note`, `comments_count`, `display_name`, `data`, `email`) VALUES(NULL, NULL, '-6162285980.0824992721363479', 'afac1194f166bcb791bdabb32139edbf25c179ab', 0, NULL, NULL, 'sora', NULL, 0, 'Sora', NULL, NULL)
  SQL (0.049647)   COMMIT
Redirected to http://localhost:3000/
Completed in 0.35052 (2 reqs/sec) | DB: 0.23213 (66%) | 302 Found [http://localhost/login/save]

这是一个安全问题,我们可以看到password以明文的形式存在。如何解决呢?很简单 
class ApplicationController < ActionController::Base   
  filter_parameter_logging "password"   
end

这样,其中的字段就会变成"password"=>"[FILTERED]", "password_confirmation"=>"[FILTERED]"。

在这里,本来插入数据库字段中的password也是会暴露的,但是我这里用了hashed_password字段,显示的是不可逆密文,而password字段实际上是一个虚拟字段,因此不会插入数据库。

事实上,即使插入数据库语句中有明文password,我们也不用怕,因为在production环境中,SQL语句不会被保存进日志文件。
RayRiver
关注
专栏目录
使用log4j2实现日志数据脱敏
05-08
使用log4j2实现日志数据脱敏
java 日志的数据脱敏的实现方法
08-26
因此,数据脱敏是一种必要的安全措施,它通过对敏感数据进行部分替换或加密,以保护原始数据的完整性,同时确保日志仍然具有一定的可读性和分析价值。 以下是一个简单的实现策略: 1. **在Model层处理**: 一种...
OJ【日志敏感信息屏蔽】
最新发布
weixin_47011594的博客
03-04 473
3、key在words,且以非 IP 结尾的:仅需对value最右侧的长度(L)大于等于4,且连续为数字的子串进行屏蔽,从倒数第L/4+1个数字字符开始(比如L为9,从倒数第三个开始),从右到 左对间的L/2个字符用 * 代替。日志信息字符串是以,分割的[key:value]格式表示的字符串,value不会包括字符,和:,以key值区分衣服为敏感信息。敏感信息:其key值有两类,第1类是出现在words的,第2类是缺省关键字password和pwd(注:第2类优先)。
【HUAWEI OJ 题库】日志敏感信息屏蔽
weixin_46257411的博客
11-27 444
先给一个列表words,和一个日志信息的字符串,请对日志信息的敏感信息进行屏蔽。
[安全开发]日志敏感信息检测-2-银行卡
白夜的随笔
10-19 694
前言 银行卡号码格式 正则提取 卡bin校验 校验码校验 优化思考 前言 接上一篇文章:[安全开发]日志敏感信息检测-1-身份证 银行卡号码格式 银行卡号码由14至19位数字组成,储蓄卡一般是19位、17位和16位,信用卡一般是16位,其: 前n位:发卡行识别码,用来标识哪个银行发行的卡,在本文统一简称为“卡bin” 间位:个人账户标识,由发卡行自己定义,最多12位 末位:校验码,由前面的数字采用Luhn算法计算得出 正则提取 首先通过正则,进行简单的筛选,从日志提取疑似银行卡号码的数.
仅需两步,教你保护 Log4j 日志敏感数据
abackcab的博客
02-28 1031
介绍我们可以通过实现自定义日志附加程序并使用正则表达式来识别和屏蔽敏感信息,从而屏蔽 Spring Boot 应用程序的 log4j 日志敏感数据。以下是具体方法实战:第 1 步:创建自定义日志 Appender创建一个扩展 log4j 提供的 AppenderSkeleton 的类。这个自定义appender将在日志消息写入日志之前拦截它们,并应用必要的屏蔽。log4j的一个appender负责将日志消息写入各种输出
nasa.rar_NASA处理过的数据集_web日志分析
09-23
8. **隐私与合规**:在进行Web日志分析时,需要确保遵循相关的数据保护法规,如GDPR,不存储或处理敏感个人信息,尊重用户的隐私权。 综上所述,“nasa.rar”数据集为我们提供了一个宝贵的研究平台,通过深入分析,...
Java 程序如何正确地打日志.rar_java 日志
09-15
7. **日志管理**:在大型系统日志管理和分析工具(如ELK Stack:Elasticsearch、Logstash、Kibana)可以帮助收集、存储和分析日志数据,提供实时监控和报警功能。 8. **安全性**:注意不要在日志泄露敏感信息...
sgrz.zip_android_日志 android
09-23
记录用户数据的日志可能涉及隐私问题,因此在处理敏感信息时,务必确保进行适当的脱敏处理,避免泄露用户隐私。 9. **Android应用崩溃日志** 当应用崩溃时,系统会自动生成一个crash log,包含错误堆栈信息,这...
java_programming_manual_log_files.rar_java programming_日志
09-23
Java编程日志管理是软件开发不可或缺的一部分,它用于记录程序运行时的事件、错误信息和调试数据。Log4j作为Java最广泛使用的日志框架之一,为开发者提供了高效且灵活的日志处理能力。本手册将深入探讨Log4j...
Rails宝典之第九式: 在日志过滤敏感数据
blacksource的专栏
12-25 1835
这是个安全问题,当我们在系统注册页面输入密码等敏感数据时,我们可以看到,密码以明文的形式显示在日志文件里:  Java代码   Processing UsersController#create (for 127.0.0.1 at 2007-02-23 19:11:20) [POST]     Session ID: 4047778b64af62d387f7e86
Spring Boot 使用切面记录日志
雨陆聪辰的博客
10-24 2996
Spring Boot 使用切面记录日志
Spring Boot 日志记录脱敏
wgq2020的博客
11-26 1570
在 Logback ,我们可以使用Filter过滤器来对日志进行处理。我们可以自定义一个过滤器,对日志的敏感信息进行脱敏处理。![\\d])";if(!i ++) {} }![\\d])";if(!i ++) {} }![\\d])";if(!i ++) {} }![\\d])";if(!
电脑pc端ABBYY FineReader OCR 2021免费图片文字识别软件
CaiHuaZeiPoJie的博客
10-26 1352
ABBYY FineReader是一款特别优秀的OCR与PDF处理软件。 它主要是用于在处理文档时提高业务生产力。以人工智能为基础的 FineReader 15 提供强大且易用的工具来帮助您获得纸质文档和 PDF 信息,可以说是最强大的OCR软件,它可以很轻松将纸质文档,扫描件,PDF 转换为Word,Excel,它还可以标记与标注PDF,还可以无差异对比不同的文件,支持windows与mac,有需要都可以去试试。 pdf转换word软件不好用? 转换格式乱码? 识别率过低? 图表无法正常识别? 找不到
nginx log 敏感信息过滤
weixin_33924220的博客
04-27 1880
有时我们会通过url传递一些敏感信息如token等,同时又不希望这些信息记录在nginx的log(可能会分发给数据处理或解决bug的人)里。 这时需要过滤url.具体方法如下 http{ log_format main '$remote_addr - $remote_user [$time_local] "$request" ' ...
记录一次敏感信息脱敏的过程
weixin_34238642的博客
02-02 4347
背景: 在A公司入职,老大让我去做数据脱敏,通过调用运维组的数据脱敏接口,保证用户的敏感的信息不落地。公司项目主要使用laravel5.1 和 YII1.1 版本。 具体方案: 敏感信息字段的调用存在与代码的各个角落,如果手动对每一个地方的代码都去撸一边,所需要耗费的时间是非常巨大的,为了减少工作量,我们决定对model下手,考虑到并不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值