Описание тега log-forging
2
ответа
Предотвращение подделки журналов с помощью logback
Как можно защитить вход в систему (использующий макет шаблона) от атак подделки журналов? Есть ли свойство конфигурации, которое указывает logabck экранировать определенные зарезервированные символы? PS: Идеальным решением было бы украсить каждый ко…
01 ноя '16 в 07:17
3
ответа
Как избежать CRLF (возврат каретки и перевод строки) при возврате - CWE 117
Я использую Logback, и мне нужно избегать CRLF(возврат каретки и перевод строки), когда я регистрирую пользовательский параметр.Я попытался добавить свой класс, который расширяет ClassicConverter, на статическую карту PatternLayout.defaultConverterM…
15 янв '15 в 17:22
1
ответ
Журнал подделки проблемы в отчете фортификации
Я создал отчет Fortify для своего приложения. В отчете Fortify он показывает проблемы подделки журналов в следующем коде: holDate = ((MaintainHolidayCalenderForm) form).getCALENDER_DATE(); logger.info("This is some description" + holDate + holName )…
26 июн '14 в 10:41
0
ответов
Оформление журнала в C#
Наш Продукт прошел Тестирование Безопасности. Они дали некоторые ссылки из кода для Формирования Журнала. Одним из них является: DataRow dr = new DataRow(); var data=Convert.ToString(dataRow["ColumnName"]); // <-- У меня есть Google, но я получил…
05 сен '18 в 05:45
1
ответ
Оформление журнала с помощью объекта запроса
Я имею дело с проблемой подделки журнала для кода: log.error ("Запрос: " + req.getRequestURL() + "повышенный" + исключение); Значение этого элемента (req.getRequestURL()) проходит через код без надлежащей очистки или проверки и в конечном итоге испо…
10 дек '14 в 09:41
2
ответа
Fortify Log Forging Issue
Мы сканируем наше приложение.NET с помощью Fortify и должны предоставить некоторую информацию о том, почему проблема Log Forging к нам не относится. В нашем коде у нас есть следующий шаблон, конечно, он не такой, как есть, я уловил суть того, что мы…
14 мар '15 в 19:14
4
ответа
Не удалось решить проблему Fortifing Log Forging
У меня проблемы с исправлением проблемы с подделкой журналов в Fortify. Проблема "записывает неподтвержденный пользовательский ввод в журнал" возникает из-за обоих вызовов ведения журнала в методе getLongFromTimestamp(). public long getLongFromTimes…
29 май '15 в 19:12
4
ответа
Исправление подделки журнала
Я использую Fortify SCA, чтобы найти проблемы с безопасностью в моем приложении (в качестве домашней работы в университете). Я столкнулся с некоторыми проблемами "подделки журналов", от которых я не могу избавиться. По сути, я регистрирую некоторые …
08 окт '12 в 15:25
3
ответа
Укрепление отчетов о проверке SCA Проблема с журналированием при чтении переменных среды
Я использовал System.getenv("envVariableName") и это бросило мне проблему подделки журналов. Я даже попытался закодировать возвращенную строку, используя ESAPI-кодировщик, но это не помогло. Мой фрагмент кода: String envValue = encode(System.getenv(…
26 апр '19 в 06:27
0
ответов
Исправить ошибки подделки лога PHP
Следующий код PHP считается проблемой высокой критичности из-за подделки журналов с использованием Fortify SCA: error_log('Foo: '.$bar); Какие символы мне нужно убежать? Я пытался использовать htmlspecialchars() но проблема все та же.
17 июл '19 в 16:49
1
ответ
Экранировать HTML при входе в систему
У нас есть проект Spring, использующий Logback с SLF4J. Я работал над предотвращением ковки бревен в нашем проекте. Я использовал owasp.security-logging-logback для замены символов CRLF в журнале. шаблон: %d ${LOG_LEVEL_PATTERN: -% 5p} ${PID: -} ---…
04 авг '21 в 08:22
2
ответа
Как разрешить аудит безопасности, обнаруживающий инъекцию журнала в приложении Java Spring Boot
Я пытаюсь получить подробную информацию об исключении, зарегистрировав его с помощью lombok extern Slf4j. Но обнаружил проблему при сканировании покрытия, как показано ниже. Это результат аудита безопасности. CID 227846 (№1 из 1): внедрение журнала …
22 дек '21 в 14:51
0
ответов
Проблема с подделкой журнала для длинного типа данных при сканировании Checkmarx
При сканировании checkmarx у меня возникла проблема с подделкой журнала, когда я регистрирую идентификатор с помощью метода получения длинного типа. Может ли длинный тип данных вызвать подделку журнала, если да, то как мы можем это преодолеть. Я не …
19 окт '23 в 12:13