Fortify:Log Forging问题解决

最新推荐文章于 2024-01-19 16:19:18 发布
最新推荐文章于 2024-01-19 16:19:18 发布
阅读量2.4k 收藏 3
点赞数 1
分类专栏: 技术 文章标签: java 后端 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuanlv_xiaoyao/article/details/117712584
版权

文章目录

背景

公司上线前进行静态代码扫描,项目中出现大量Log Forging问题,需要解决大量该类问题才能上线。攻击者通过伪造请求参数(包括headers)访问服务,如果服务端直接将参数打印到日志中,攻击者就可以随意伪造日志输出结果,造成严重后果。

解决步骤

1. 自定义Converter

public class LogFilter extends ClassicConverter {
    @Override
    public String convert(ILoggingEvent event) {
       if (event.getLoggerName().startsWith("com.x.x")) { //根据package启用规则
            return vaildLog(event.getFormattedMessage());
        } else {
            return event.getFormattedMessage();
        }
    }

    /**
     * 特殊字符替换
     *
     * @param logs
     * @return
     */
    public static String convertLog(String logs) {
        List<String> list = Arrays.asList("%0a", "%0A", "%0d", "%0D", "\r", "\n");
        String converted = Normalizer.normalize(logs, Normalizer.Form.NFKC);
        for (String s : list) {
            converted = converted.replace(s, "");
        }
        return converted;
    }
}

2. logback.xml配置Converter

<configuration>标签下添加如下配置:

<conversionRule conversionWord="msg" converterClass="xxx.LogFilter" />
windfbi
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决xss/logforging安全漏洞
qq_37549757的博客
03-29 1641
注明: 本文为整理记录笔记,不喜勿喷。有问题请留言。CSDN转载必须有原文链接,有些链接找不到了,原文看到了可以留言私我。 漏洞描述: XSS:跨站脚本攻击(Cross Site Script)是一种将恶意JavaScript代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览该页时,这些嵌入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如cookie窃取、帐户劫持、拒绝服务攻击等。
Log Forging (FORTIFY.Log_Forging)解决办法
阳光
09-30 1万+
下列 Web 应用程序代码会尝试从一个请求对象中读取整数值。如果数值未被解析为整数,输入就会被记录到日志中,附带一条提示相关情况的错误消息。 ... String val = request.getParameter("val"); try {   int value = Integer.parseInt(val); }catch (NumberFormatException nfe) ...
SpringBoot项目中解决Fortify漏洞Log Forging日志伪造
riemann_的博客
06-22 5468
一、例子 下列 Web 应用程序代码会尝试从一个请求对象中读取整数值。如果数值未被解析为整数,输入就会被记录到日志中,附带一条提示相关情况的错误消息。 String val = request.getParameter("val"); try {   int value = Integer.parseInt(val); }catch (NumberFormatException nfe) {...
Fortify漏洞之 Log Forging(日志伪造)
arkqyo2595的博客
05-14 1608
  继续对Fortify的漏洞进行总结,本篇主要针对Log Forging(日志伪造)的漏洞进行总结,如下: 1.1、产生原因: 在以下情况下会发生 Log Forging 的漏洞: 1. 数据从一个不可信赖的数据源进入应用程序。 2. 数据写入到应用程序或系统日志文件中。   为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。...
Log forging漏洞解决办法
feixiangzaitianye的博客
07-19 5871
输出日志前,将引起Log Forging 漏洞的敏感字符过滤一下 /** * 过滤引起Log Forging漏洞的敏感字符 * @param str */ private String filterLogForging(String str){ List<String> sensitiveStr = new ArrayList<>(); sensi...
log forging
weixin_30247781的博客
08-02 790
为了防止日志攻击,我们一般采用在打印日志的地方过滤,过滤方法如下: public static String validLog(String log) { List<String> list = new ArrayList<>(); list.add("%0d"); list.add("\r"); list.add("%0a"); li...
代码审查工具fortify安全问题解决方法
06-02
代码审查工具Fortify安全问题解决方法 代码审查工具Fortify安全问题解决方法 Fortify是一款代码审查工具,旨在帮助开发者检测和修复代码中的安全问题。在本文中,我们将介绍Fortify扫描出的高中低危问题解决方法,...
Fortify:使Swift更强大
05-18
Fortify-更强大的Swift Fortify是一个小的Swift软件包,它可以使Swift在面对当前致命错误(例如,强制打开nil或强制转换错误)时更加强大。 与现有的Swift异常一样使用Fortify,除了为Swift错误自动生成异常。 ...
Fortify:旨在使Fortify报告对客户更具可读性
05-01
由于客户看不到Fortify FPR报告,因此导出的PDF报告可能太复杂而使客户迷路。 开发fpr2xlsx.py的目的是帮助客户更好地了解Fortify报告。 脚本需要安装Python xlsxwriter库。 只需一个参数(--input或-i)来选择fpr...
Fortify:源代码防御の审计
03-24
Fortify是一款强大的静态应用安全测试(SAST)工具,它专注于源代码防御审计,帮助开发者在软件开发的早期阶段发现并修复潜在的安全漏洞。源代码审计是软件开发过程中的重要环节,通过分析代码来识别可能的安全风险...
C# 扫描扫描源代码
04-11
C# 扫描扫描源代码支持twain扫描等常用协议扫描 支持wia扫描
laravel-fortify:Membuat autentikasi dengan laravel强化
03-21
laravel-fortify是Laravel框架的一个扩展,用于构建现代Web应用的安全认证系统。这个工具提供了简化用户身份验证过程的功能,使得开发者可以快速地搭建包括登录、注册、密码重置和双因素身份验证在内的核心认证功能...
[20][03][71] Log Forging
安全新司机
12-20 1771
文章目录1. 描述2. 复现问题3. 修复方案 1. 描述 Log Forging 是日志伪造漏洞 在日常开发中为了便于调试和查看问题,需要通过日志来记录信息,java 中常见的日志组件 log4j, logback 等 查看日志文件可在必要时手动执行,也可以自动执行,即利用工具自动挑选日志中的重要事件或带有某种倾向性的信息,如果攻击者可以向随后会被逐字记录到日志文件的应用程序提供数据,则可能会妨碍或误导日志文件的解读 如果日志文件是自动处理的,那么攻击者就可以通过破坏文件格式或注入意外的字符,从而使文件无
开发安全之:Log Forging
最新发布
irizhao的专栏
01-19 1108
根据应用程序自身的特性,审阅日志文件可在必要时手动执行,也可以自动执行,即利用工具自动挑选日志中的重要事件或带有某种倾向性的信息。最理想的情况是,攻击者可能通过向应用程序提供包括适当字符的输入,在日志文件中插入错误的条目。更阴险的攻击可能会导致日志文件中的统计信息发生偏差。更好的方法是创建一个字符列表,允许其中的字符出现在日志条目中,并且只接受完全由这些经认可的字符组成的输入。在大多数 Log Forging 攻击中,最关键的字符是“\n”换行符,这样的字符决不能出现在日志条目允许列表中。
Log Forging漏洞
05-25 991
输出日志前,将引起Log Forging 漏洞的敏感字符过滤一下 /** 过滤引起Log Forging漏洞的敏感字符 @param str */ private String filterLogForging(String str){ List sensitiveStr = new ArrayList<>(); sensitiveStr.add(“%0d”); sensitiveStr.add(“%0a”); sensitiveStr.add(“%0A”); sensitiveStr.add
CQDESEC代码漏洞检测-》防止 Log Forging 攻击
java漫步天下的专栏
08-14 441
使用间接方法防止 Log Forging 攻击
fortify 漏洞扫描的几种解决方式
热门推荐
wuhenlove的博客
08-22 2万+
1.    关于Log问题Log Forging),整个系统中,对于Log问题最多,可以采用以下方式进行解决解决方案如下: 1) 只输出必要的日志,功能上线前屏蔽大多数的调试日志。 2) 过滤掉非法字符:   2.    关于创建File(Path Manipulation)的问题Fortify扫描遇到了Path Manipulation问题,定位代码如下: 1
代码漏洞扫描常见漏洞
不积跬步无以至千里
12-05 5984
代码漏洞扫描常见漏洞 1.日志注入(Log Forging漏洞) 漏洞描述 将未经验证的用户输入写入日志文件可致使攻击者伪造日志条目或将恶意信息内容注入日志。 在以下情况下会发生日志伪造的漏洞: 数据从一个不可信赖的数据源进入应用程序。 数据写入到应用程序或系统日志文件中。 影响: 误导日志文件的解读; 如果日志文件是自动处理的,可能影响日志处理应用程序。 日志注入一般不会引起服务功能性的损害,而主要是作为一种辅助攻击手段 漏洞案例 例1:登录模块,会在日志里记录所有登录成果
java+日志报警_基于log4j2简易实现日志告警
weixin_29988441的博客
02-23 742
数据分析之图算法spark neo4j61.99元包邮(需用券)去购买 >需求系统报ERROR错误时,能实时做到消息通知。思路当前项目比较小,不想过多的依赖额外的第三方组件。项目在ERROR时,都会打印ERROR日志,所以可以在log4j接收到ERROR日志请求时,发送通知消息。实践Filter是log4j2的扩展点,从图中(图片来自如何编写Log4j2脱敏插件)流程可以看到,Filter分...
log forging漏洞解决办法
06-09
Log forging漏洞是指攻击者能够通过对应用程序日志文件的输入进行篡改,从而欺骗应用程序的管理员或用户。为了解决这个漏洞,可以采取以下几个措施: 1. 使用安全日志记录库:使用安全日志记录库可以防止攻击者篡改应用程序日志文件。这些库提供了日志记录功能,可以自动完成日志记录,并防止攻击者使用日志记录功能进行攻击。 2. 输入验证:在记录日志之前,对输入进行验证,只允许有效的输入。这样可以防止攻击者使用恶意输入来篡改应用程序日志文件。 3. 使用日志记录策略:应该制定日志记录策略,明确哪些信息需要记录,哪些信息可以省略。这可以限制攻击者篡改应用程序日志文件的机会。 4. 访问控制:应该使用访问控制来限制谁可以访问应用程序日志文件。只有授权的用户才能访问日志文件,这可以防止攻击者篡改应用程序日志文件。 5. 使用加密技术:加密技术可以防止攻击者篡改应用程序日志文件。应该使用加密技术来保护日志文件,这可以防止攻击者在日志文件中插入恶意数据。 综上所述,通过使用安全日志记录库、输入验证、日志记录策略、访问控制和加密技术,可以有效地防止Log forging漏洞的发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值