问题标签 [log-forging]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
4 回答
32003 浏览

java - 日志锻造强化修复

我正在使用 Fortify SCA 来查找我的应用程序中的安全问题(作为大学作业)。我遇到了一些我无法摆脱的“Log Forging”问题。

基本上,我记录了一些来自 Web 界面的用户输入值:

Fortify 将此报告为日志伪造问题,因为getRecordId()返回用户输入。

我已经关注了这篇文章,我正在用空格替换“新行”,但问题仍然存在

任何人都可以提出解决此问题的方法吗?

0 投票
1 回答
6413 浏览

java - 在 fortify 报告中记录伪造问题

我为我的应用程序生成了 Fortify 报告。在 Fortify 报告中,它在以下代码中显示了日志伪造问题:

根据一些人的建议,我已将“/n”替换为“ ”,将“/r”替换为“ ”,但问题仍未解决。

谁能告诉我如何解决这个问题?

提前致谢。

0 投票
1 回答
2712 浏览

java - 使用请求对象进行日志锻造

我正在处理代码的日志伪造问题:

log.error("请求:" + req.getRequestURL() + " 引发 " + 异常);

该元素的值 (req.getRequestURL()) 流经代码而没有经过适当的清理或验证,最终用于在 handleError 中编写审计日志

我试图删除 \n\r 字符但没有成功。

我已经通过不同的网站搜索相同的内容,但没有找到有用的内容。任何人都可以解释这个解决方案或修复它的小指南。

谢谢

0 投票
3 回答
3143 浏览

security - 如何在 Logback 中避免 CRLF(回车和换行) - CWE 117

我正在使用 Logback,并且在记录用户参数时需要避免使用 CRLF(回车和换行)。
我试图在静态地图 PatternLayout.defaultConverterMap 上添加我的类,它扩展了 ClassicConverter,但它没有用。

谢谢,

0 投票
2 回答
9341 浏览

logging - 强化日志锻造问题

我们正在使用 Fortify 扫描我们的 .NET 应用程序,并且需要提供一些关于为什么 Log Forging 问题不适用于我们的信息。在我们的代码中,我们有以下模式,当然它不完全是这样,我已经抓住了我们正在做的事情的本质:

所以基本上,我们控制如何创建日志条目对象。我们将消息或用户输入限制为 100 个字符。因此,我们认为 Fortify 提出的 Log Forging 是误报。

大家怎么看?

0 投票
4 回答
34666 浏览

java - 无法解决 Log Forging Fortify 问题

我在解决 Fortify 中的 Log Forging 问题时遇到问题。getLongFromTimestamp() 方法中的两个日志调用都引发了“将未经验证的用户输入写入日志”的问题。

cleanLogString() 方法修复了我项目中的其他 Log Forging Fortify 问题,但它对上述 2 没有影响。

任何帮助,将不胜感激!

0 投票
1 回答
4301 浏览

java - 使用 logback 防止日志伪造

如何保护 logback(使用模式布局)免受日志伪造攻击?是否有一个配置属性告诉 logabck 转义某些保留字符?

PS:理想的解决方案是使用配置提供的装饰器来装饰每个转换器,但是对于当前的 logback 设计似乎是不可能的。

0 投票
0 回答
273 浏览

c# - C# 中的日志锻造

我们的产品通过了安全测试。他们提供了一些来自 Log Forging 代码的参考。

其中之一是:

我有谷歌,但如果记录了任何不安全的信息,我就会知道。

但这里没有任何记录。

请提出您的看法。

0 投票
3 回答
864 浏览

logging - Fortify SCA 扫描在读取环境变量时报告日志伪造问题

我用过System.getenv("envVariableName"),它给我带来了 Log Forging 问题。我什至尝试使用 ESAPI 编码器对返回的字符串进行编码,但没有帮助。

我的代码片段:

关于我所缺少的任何建议将不胜感激。

0 投票
0 回答
822 浏览

java - java中checkmarx扫描中的日志伪造

Java中checkmarx扫描中的日志伪造

如何在 checkmarx 扫描中解决 Java 的日志伪造问题。在放入日志文件之前,我尝试清理输入。但是,它仍然抱怨在记录之前验证或清理输入。请帮我解决这个问题。