问题标签 [log-forging]

我正在使用 Fortify SCA 来查找我的应用程序中的安全问题（作为大学作业）。我遇到了一些我无法摆脱的“Log Forging”问题。

基本上，我记录了一些来自 Web 界面的用户输入值：

Fortify 将此报告为日志伪造问题，因为getRecordId()返回用户输入。

我已经关注了这篇文章，我正在用空格替换“新行”，但问题仍然存在

任何人都可以提出解决此问题的方法吗？

我为我的应用程序生成了 Fortify 报告。在 Fortify 报告中，它在以下代码中显示了日志伪造问题：

根据一些人的建议，我已将“/n”替换为“ ”，将“/r”替换为“ ”，但问题仍未解决。

谁能告诉我如何解决这个问题？

提前致谢。

我正在处理代码的日志伪造问题：

log.error("请求：" + req.getRequestURL() + " 引发 " + 异常);

该元素的值 (req.getRequestURL()) 流经代码而没有经过适当的清理或验证，最终用于在 handleError 中编写审计日志

我试图删除 \n\r 字符但没有成功。

我已经通过不同的网站搜索相同的内容，但没有找到有用的内容。任何人都可以解释这个解决方案或修复它的小指南。

谢谢

我正在使用 Logback，并且在记录用户参数时需要避免使用 CRLF（回车和换行）。
我试图在静态地图 PatternLayout.defaultConverterMap 上添加我的类，它扩展了 ClassicConverter，但它没有用。

谢谢，

我们正在使用 Fortify 扫描我们的 .NET 应用程序，并且需要提供一些关于为什么 Log Forging 问题不适用于我们的信息。在我们的代码中，我们有以下模式，当然它不完全是这样，我已经抓住了我们正在做的事情的本质：

所以基本上，我们控制如何创建日志条目对象。我们将消息或用户输入限制为 100 个字符。因此，我们认为 Fortify 提出的 Log Forging 是误报。

大家怎么看？

我在解决 Fortify 中的 Log Forging 问题时遇到问题。getLongFromTimestamp() 方法中的两个日志调用都引发了“将未经验证的用户输入写入日志”的问题。

cleanLogString() 方法修复了我项目中的其他 Log Forging Fortify 问题，但它对上述 2 没有影响。

任何帮助，将不胜感激！

如何保护 logback（使用模式布局）免受日志伪造攻击？是否有一个配置属性告诉 logabck 转义某些保留字符？

PS：理想的解决方案是使用配置提供的装饰器来装饰每个转换器，但是对于当前的 logback 设计似乎是不可能的。

我们的产品通过了安全测试。他们提供了一些来自 Log Forging 代码的参考。

其中之一是：

我有谷歌，但如果记录了任何不安全的信息，我就会知道。

但这里没有任何记录。

请提出您的看法。

我用过System.getenv("envVariableName")，它给我带来了 Log Forging 问题。我什至尝试使用 ESAPI 编码器对返回的字符串进行编码，但没有帮助。

我的代码片段：

关于我所缺少的任何建议将不胜感激。

Java中checkmarx扫描中的日志伪造

如何在 checkmarx 扫描中解决 Java 的日志伪造问题。在放入日志文件之前，我尝试清理输入。但是，它仍然抱怨在记录之前验证或清理输入。请帮我解决这个问题。