#009_过滤日志中的敏感数据

最新推荐文章于 2024-02-28 09:02:44 发布
最新推荐文章于 2024-02-28 09:02:44 发布
阅读量446 收藏
点赞数
分类专栏: Railscasts学习笔记 文章标签: SQL Ruby
当我们注册用户的时候,在日志中会自动保存一些敏感的字段,比如password等。 
Processing LoginController#save (for 127.0.0.1 at 2008-04-08 13:53:22) [POST]
  Session ID: b40f205b38bd05382dc8ef2f362f5d5b
  Parameters: {"user"=>{"password_confirmation"=>"aaaaaa111", "login_name"=>"sora", "display_name"=>"Sora", "password"=>"aaaaaa111"}, "commit"=>"注册", "action"=>"save", "controller"=>"login"}
  User Columns (0.054099)   SHOW FIELDS FROM users
  SQL (0.002521)   SELECT count(*) AS count_all FROM users 
  SQL (0.000291)   BEGIN
  SQL (0.125573)   INSERT INTO users (`content_type`, `pic_name`, `salt`, `hashed_password`, `topics_count`, `personality`, `im`, `login_name`, `note`, `comments_count`, `display_name`, `data`, `email`) VALUES(NULL, NULL, '-6162285980.0824992721363479', 'afac1194f166bcb791bdabb32139edbf25c179ab', 0, NULL, NULL, 'sora', NULL, 0, 'Sora', NULL, NULL)
  SQL (0.049647)   COMMIT
Redirected to http://localhost:3000/
Completed in 0.35052 (2 reqs/sec) | DB: 0.23213 (66%) | 302 Found [http://localhost/login/save]

这是一个安全问题,我们可以看到password以明文的形式存在。如何解决呢?很简单 
class ApplicationController < ActionController::Base   
  filter_parameter_logging "password"   
end

这样,其中的字段就会变成"password"=>"[FILTERED]", "password_confirmation"=>"[FILTERED]"。

在这里,本来插入数据库字段中的password也是会暴露的,但是我这里用了hashed_password字段,显示的是不可逆密文,而password字段实际上是一个虚拟字段,因此不会插入数据库。

事实上,即使插入数据库语句中有明文password,我们也不用怕,因为在production环境中,SQL语句不会被保存进日志文件。
RayRiver
关注
专栏目录
使用log4j2实现日志数据脱敏
05-08
使用log4j2实现日志数据脱敏
OJ【日志敏感信息屏蔽】
最新发布
weixin_47011594的博客
03-04 472
3、key在words,且以非 IP 结尾的:仅需对value最右侧的长度(L)大于等于4,且连续为数字的子串进行屏蔽,从倒数第L/4+1个数字字符开始(比如L为9,从倒数第三个开始),从右到 左对间的L/2个字符用 * 代替。日志信息字符串是以,分割的[key:value]格式表示的字符串,value不会包括字符,和:,以key值区分衣服为敏感信息。敏感信息:其key值有两类,第1类是出现在words的,第2类是缺省关键字password和pwd(注:第2类优先)。
【HUAWEI OJ 题库】日志敏感信息屏蔽
weixin_46257411的博客
11-27 443
先给一个列表words,和一个日志信息的字符串,请对日志信息的敏感信息进行屏蔽。
[安全开发]日志敏感信息检测-2-银行卡
白夜的随笔
10-19 690
前言 银行卡号码格式 正则提取 卡bin校验 校验码校验 优化思考 前言 接上一篇文章:[安全开发]日志敏感信息检测-1-身份证 银行卡号码格式 银行卡号码由14至19位数字组成,储蓄卡一般是19位、17位和16位,信用卡一般是16位,其: 前n位:发卡行识别码,用来标识哪个银行发行的卡,在本文统一简称为“卡bin” 间位:个人账户标识,由发卡行自己定义,最多12位 末位:校验码,由前面的数字采用Luhn算法计算得出 正则提取 首先通过正则,进行简单的筛选,从日志提取疑似银行卡号码的数.
仅需两步,教你保护 Log4j 日志敏感数据
abackcab的博客
02-28 1027
介绍我们可以通过实现自定义日志附加程序并使用正则表达式来识别和屏蔽敏感信息,从而屏蔽 Spring Boot 应用程序的 log4j 日志敏感数据。以下是具体方法实战:第 1 步:创建自定义日志 Appender创建一个扩展 log4j 提供的 AppenderSkeleton 的类。这个自定义appender将在日志消息写入日志之前拦截它们,并应用必要的屏蔽。log4j的一个appender负责将日志消息写入各种输出
nasa.rar_NASA处理过的数据集_web日志分析
09-23
8. **隐私与合规**:在进行Web日志分析时,需要确保遵循相关的数据保护法规,如GDPR,不存储或处理敏感个人信息,尊重用户的隐私权。 综上所述,“nasa.rar”数据集为我们提供了一个宝贵的研究平台,通过深入分析,...
Java 程序如何正确地打日志.rar_java 日志
09-15
7. **日志管理**:在大型系统日志管理和分析工具(如ELK Stack:Elasticsearch、Logstash、Kibana)可以帮助收集、存储和分析日志数据,提供实时监控和报警功能。 8. **安全性**:注意不要在日志泄露敏感信息...
sgrz.zip_android_日志 android
09-23
记录用户数据的日志可能涉及隐私问题,因此在处理敏感信息时,务必确保进行适当的脱敏处理,避免泄露用户隐私。 9. **Android应用崩溃日志** 当应用崩溃时,系统会自动生成一个crash log,包含错误堆栈信息,这...
java_programming_manual_log_files.rar_java programming_日志
09-23
Java编程日志管理是软件开发不可或缺的一部分,它用于记录程序运行时的事件、错误信息和调试数据。Log4j作为Java最广泛使用的日志框架之一,为开发者提供了高效且灵活的日志处理能力。本手册将深入探讨Log4j...
java 日志的数据脱敏的实现方法
08-26
因此,数据脱敏是一种必要的安全措施,它通过对敏感数据进行部分替换或加密,以保护原始数据的完整性,同时确保日志仍然具有一定的可读性和分析价值。 以下是一个简单的实现策略: 1. **在Model层处理**: 一种...
Rails宝典之第九式: 在日志过滤敏感数据
blacksource的专栏
12-25 1835
这是个安全问题,当我们在系统注册页面输入密码等敏感数据时,我们可以看到,密码以明文的形式显示在日志文件里:  Java代码   Processing UsersController#create (for 127.0.0.1 at 2007-02-23 19:11:20) [POST]     Session ID: 4047778b64af62d387f7e86
Spring Boot 使用切面记录日志
雨陆聪辰的博客
10-24 2994
Spring Boot 使用切面记录日志
Spring Boot 日志记录脱敏
wgq2020的博客
11-26 1556
在 Logback ,我们可以使用Filter过滤器来对日志进行处理。我们可以自定义一个过滤器,对日志的敏感信息进行脱敏处理。![\\d])";if(!i ++) {} }![\\d])";if(!i ++) {} }![\\d])";if(!i ++) {} }![\\d])";if(!
电脑pc端ABBYY FineReader OCR 2021免费图片文字识别软件
CaiHuaZeiPoJie的博客
10-26 1350
ABBYY FineReader是一款特别优秀的OCR与PDF处理软件。 它主要是用于在处理文档时提高业务生产力。以人工智能为基础的 FineReader 15 提供强大且易用的工具来帮助您获得纸质文档和 PDF 的信息,可以说是最强大的OCR软件,它可以很轻松将纸质文档,扫描件,PDF 转换为Word,Excel,它还可以标记与标注PDF,还可以无差异对比不同的文件,支持windows与mac,有需要都可以去试试。 pdf转换word软件不好用? 转换格式乱码? 识别率过低? 图表无法正常识别? 找不到
基于slf4j的日志过滤
庄奕欣的博客
07-23 5796
最近同事提了一个需求过来,他觉得项目对于第三方日志记录的太多了,只想记录一些业务相关的日志减少对于框架日志的显示。 具体要求就是对于框架日志只显示warn等级以上的,而业务日志显示info等级以上的。这里主要使用的是slf4j与logback结合的方法。使用过滤器来实现对日志过滤。首先是现在项目内封装一个日志管理工具。在需要使用到日志记录程序运行状态时直接调用该方法,而不是重新生成一个Logge
RailsCasts文版,#9 Filtering Sensitive Logs 遮盖日志记录的敏感信息
边晓宇@CSDN
11-19 1555
这是一个用户注册页面,填入用户名和密码按确认提交。 查看后台日志的话,能够发现所有页面提交的参数都是以明文方式保存在日志的。 Processing UsersController#create (for 127.0.0.1 at 2009-01-02 10:13:13) [POST] Parameters: {"user"=>{"name"=>"eifion", "passw
[车联网安全自学篇] Android安全之Log日志敏感信息泄露+自定义URL敏感信息泄露挖掘
橙留香Park的博客
08-15 1111
常见的Android系统,各种日志默认是被集式管理的。但市面上也有许多可用来开发Android应用的工具,能够让应用开发程序员们编写出自定义的日志消息,以及特定日志语句定义的各种过滤器。目前,Android生态系统提供了不同类型的日志,其包括:应用日志、系统日志、事件日志、以及广播日志(Radio Logs) 日志记录系统的组成包括:内核驱动程序和内核缓冲区(用于存储Android日志消息),可用于创建日志条目和访问日志消息的C、C++和Java类,可用于查看日志消息(logcat)的独立程序,以及
ELK栈实践:打造小型团队的日志管理平台
- 对于敏感数据,可以启用Elasticsearch的安全特性,如SSL/TLS加密和权限控制,确保日志数据的安全。 总结来说,ELK栈为小型研发团队提供了一种高效、灵活的日志管理方案,通过整合日志收集、处理、存储和分析的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值