日志锻造强化修复

2024-05-19

我正在使用 Fortify SCA 来查找我的应用程序中的安全问题（作为大学作业）。我遇到了一些无法解决的“日志锻造”问题。

基本上，我记录一些来自 Web 界面的用户输入的值：

logger.warn("current id not valid - " + bean.getRecordId()));

Fortify 将此报告为日志伪造问题，因为获取记录Id()返回用户输入。

我已经关注了这个article http://www.jtmelton.com/2010/09/21/preventing-log-forging-in-java/，我用空格替换“新行”，但问题仍然存在

logger.warn("current id not valid - " + Util.replaceNewLine(bean.getRecordId()));

谁能建议一种方法来解决这个问题？

我知道这已经得到回答，但我认为一个例子会很好:)

<?xml version="1.0" encoding="UTF-8"?>
<RulePack xmlns="xmlns://www.fortifysoftware.com/schema/rules">
  <RulePackID>D82118B1-BBAE-4047-9066-5FC821E16456</RulePackID>
  <SKU>SKU-Validated-Log-Forging</SKU>
  <Name><![CDATA[Validated-Log-Forging]]></Name>
  <Version>1.0</Version>
  <Description><![CDATA[Validated-Log-Forging]]></Description>
  <Rules version="3.14">
    <RuleDefinitions>
      <DataflowCleanseRule formatVersion="3.14" language="java">
        <RuleID>DDAB5D73-8CF6-45E0-888C-EEEFBEFF2CD5</RuleID>
        <TaintFlags>+VALIDATED_LOG_FORGING</TaintFlags>
        <FunctionIdentifier>
          <NamespaceName>
            <Pattern/>
          </NamespaceName>
          <ClassName>
            <Pattern>Util</Pattern>
          </ClassName>
          <FunctionName>
            <Pattern>replaceNewLine</Pattern>
          </FunctionName>
          <ApplyTo implements="true" overrides="true" extends="true"/>
        </FunctionIdentifier>
        <OutArguments>return</OutArguments>
      </DataflowCleanseRule>
    </RuleDefinitions>
  </Rules>
</RulePack>

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Java

security

logging

FORTIFY

logforging

日志锻造强化修复的相关文章

如何在Java 8中实现Elvis运算符？

我有一个经典的 Elvis 运算符案例其中我调用每个可能返回 null 的方法并将它们链接在一起 thing nullableMethod1 a nullableMethod2 b nullableMethod3 在 Java 8 中
使用 AbstractTableModel 获取 JTable 中选定的行

我有一个JTable using AbstractTableModel我在哪里有一个JCheckBox在第一列中用于选择行现在我需要从已检查的表中获取选定的行现在我按顺序从第一行遍历到最后一行并获取所有选择的行如下所示 List
Java：高性能消息传递（单生产者/单消费者）

我最初问这个问题here https stackoverflow com questions 3367192 java is while true loop in a thread bad whats the alternative 但我意
将 spring-security 与 spring-webflux 结合使用时禁用 WebSession 创建

我正在使用 Rest api 运行无状态 spring boot 应用程序并希望按照所述禁用 WebSessions 的创建https www baeldung com spring security session https www
静态方法的 Java 内存模型

我来自操作系统和 C 语言背景在代码编译时世界很简单需要处理和理解堆栈堆文本部分等当我开始学习 Java 时我确实了解 JVM 和垃圾收集器我对静态方法感到很有趣根据我的理解类的所有实例都会在堆中创建然后被清理但是对
使用 Spring Data REST 处理自定义异常 (i18n)

我正在使用 Spring Boot 1 5 4 和 Spring JPA Spring Data REST HATEOAS 我正在寻找一种最佳实践 Spring 方式来自定义异常 Spring Data REST 正在管理添加 i18n
firebase推送通知错误Spring Boot服务器端

我正在尝试从 Spring Boot 服务器端发送通知到客户端 android 服务器运行良好一切都很好 2020 09 01 08 13 07 691 INFO 18941 restartedMain e DevToolsPropert
哈希码是否用于加速集合中的对象查找？

IIUC 相同类型的两个不同对象可以存储在 HashSet 中即使两个对象在以下情况下返回相同的值 hashCode 叫做例如根据本文 https eclipsesource com blogs 2012 09 04 the 3 thi
是否可以从另一个方法传递 args[] 来调用 main 方法？

我试图从另一个传递参数的方法调用类的主要方法就像从命令行运行该类时一样有没有办法做到这一点您可以致电main方法就像您调用任何其他静态方法一样 MyClass main new String arg1 arg2 arg3 Exam
Java 唤醒休眠线程

我阅读了其他帖子但没有找到我正在寻找的确切答案所以我希望有人能给出一些澄清我有一个将运行一段时间的程序我有一些在后台运行的线程来执行各种任务为了简单起见让我们考虑 3 个线程 ThreadA每 10 秒执行一次任务其中Thre
BlackBerry SQLite：将一个 SQLite 数据库连接到另一个

我正在尝试使用 SQLite 将一个 SQLite 数据库附加到 BlackBerry 上的另一个数据库附加数据库 http www sqlite org lang attach html命令 Database d1 d2 Statemen
打印 jasper 文件时执行报表 SQL 语句时出错

我修改了一个旧项目但无法确定这段代码有什么问题使用下面的 jrxml它创造 jasper文件当我打印 jasper 文件时使用此代码JasperPrint jasperPrint JasperFillManager fillRepo
在 eclipse 之外将 Spring MVC 应用程序部署到 tomcat 的幕后会发生什么？

我猜想使用像 eclipse 这样很棒的 IDE 的一个缺点是你会忽略应用程序幕后发生的事情我是一名 Ruby 开发人员所以不是一名 Java 老手所以我一直在用 java 编写一个项目并使用 spring 框架进行 IOC 和 M
使用Java开发跨平台，不同平台字体缩放不同

我正在为我的大学制作一些软件需要一个 GUI 在它的第一个版本中我让它使用系统外观因此它看起来像 Linux Mac Windows 中的本机应用程序我发现这很麻烦因为我必须根据操作系统使所有 JLabel 具有不同的大小无论分
为什么现在（）？（客观化）

为什么我想要异步加载 Objectify 实体异步加载到底意味着什么根据客观化有关加载的文档 https code google com p objectify appengine wiki BasicOperations Loadin
是否可以为 azure blob 存储中的给定目录生成具有写入权限的 SAS（共享访问签名）

我们的 blob 存储帐户结构容器名称 simple 在这个容器内我们有 blob aa one zip aa two zip bb ss zip bb dd zip 是否可以生成对aa 目录有写权限但对bb 目录没有访问权限的SA
H2 - （相当）长的 INSERT 失败，错误 42000

H2 内存中插入错误 42000 尝试过版本 1 4 196 1 4 197 1 4 199 我还尝试在 H2 服务器本地上执行 INSERT 也失败给出错误的行抱歉但出于安全原因我无法生成更多 INSERT INTO tb
将带有 webapp 的 WAR 部署到 Maven 中央存储库是否有意义？

这样做有意义吗如果是我在哪里可以找到使用简单的 Web Hello World 执行此操作的示例当人们从 Maven 执行 Web 应用程序时他们会使用 Jetty 来运行它吗我想 tomcat 太重了任何帮助将不胜感激谢谢
如何从spark中的hbase表中获取所有数据

我在 hbase 中有一个大表名称为 UserAction 它具有三个列族歌曲专辑歌手我需要从歌曲列族中获取所有数据作为 JavaRDD 对象我尝试了这段代码但效率不高有更好的解决方案来做到这一点吗 static Spa
H2 用户定义的聚合函数 ListAgg 不能在第一个参数上使用 DISTINCT 或 TRIM()

所以我有一个 DB2 生产数据库我需要在其中使用可用的函数 ListAgg 我希望使用 H2 的单元测试能够正确测试此功能不幸的是H2不直接支持ListAgg 但是我可以创建一个用户定义的聚合函数 import java sql Co

随机推荐

避免 gcc 函数序言开销？

我最近遇到了很多 gcc 在 x86 上生成非常糟糕的代码的函数它们都符合以下模式 if some condition do something really simple and return else something comple
使用“表单控件”删除输入字段的轮廓

我有一个输入字段如下所示在类名中我将其作为form control
将 OAuth WRAP 访问令牌直接保存在客户端计算机上的 cookie 中吗？

我计划建立一个可以访问 oauth 包装框架的网站我正在考虑将访问令牌按原样存储在客户端计算机上我不想在服务器上维护临时令牌等数据库我应该做吗或者我应该加密它首先为什么他们不使用 OAuth 2 0 您可以将 OAuth 凭据存
C# 泛型 - 为什么需要显式转换才能从具体类型返回到 T？

这已经困扰我一段时间了我在理解以下代码中为什么需要显式转换时遇到了一些困难 public static class CastStrangeness public class A public class B A public static
使用 Psycopg2 插入表：冲突时不采取任何措施

您好这是我当前的查询 query sql SQL insert into schema table fields values placeholder ON CONFLICT DO UPDATE SET updates format sc
在 swift3 中结合平移、alpha 和缩放动画

我是 iOS Swift 开发的新手我尝试将三个参数组合在一个动画中但没有成功我认为解决方案就在这里 Apple Dev Core 动画编程指南 https developer apple com library content do
Cocos2d - 将 GLImageProcessing 效果应用于 CCSprite

苹果的oplenglGL图像处理 http developer apple com library ios samplecode GLImageProcessing Introduction Intro html加载图像并应用图像调整亮度
在 javascript 文件中设置 firebase-admin sdk

我的最终目标是使用用户 ID 获取用户电子邮件到目前为止我发现我需要使用 firebase admin SDK 现在我有这个代码 var admin require firebase admin var serviceAccount r
Git difftool 未启动外部 DiffMerge 程序

我一直遵循戴夫的博客条目 http www davesquared net 2009 05 setting up git difftool on windows html 链接在此answer https stackoverflow co
Android - 处理 EditText 中的“Enter”

I am wondering if there is a way to handle the user pressing Enter while typing in an EditText something like the onSubm
RMarkdown html_output 错误

我正在尝试使用 RStudio 创建 RMarkdown 文档闪亮的服务器如果输出是 pdf 它工作正常但如果我想要它作为 html 我会在过程结束时收到以下错误在 RMarkdown 控制台中我可以看到它达到了 100 错误 ht
C++ 中带有可变参数签名的函数映射

From Martin Reddy 的 C API 设计第 3 章第 3 3 3 节可扩展工厂示例我发现工厂模式的这种实现非常高效它允许用户在运行时注册回调函数本质上是派生类的构造函数最终可以在创建该类型的对象时调用该回调函数
同时调用多个 API，并在相应请求处理完成后立即更新 UI Android

我需要跑6个API同时调用并且需要在相应的请求完成时更新每个用户界面目前我正在使用kotlin 协程并行执行使用以下代码 suspend fun getAllData List
竖线

有没有办法在js图形库dygraph中制作垂直线我正在加载数据并希望像石墨那样放置垂直线来显示事件是否有一些特殊的上下文可以添加垂直线您现在可能已经弄清楚了这一点或者不再关心但实现此目的的方法是使用自定义底衬请参阅http d
Android apkanalyzer，通过命令行调用，给出“NoClassDefFoundError”异常

我正在尝试运行 Android SDK 提供的 apkanalyzer 工具在 Sdk tool bin 下但我无法使其工作我知道我也可以通过AndroidStudio使用这个工具但是我需要自动化apk分析以覆盖很多APK 所以我
自动保存笔记本（或mathematica中的其他类型文件）文件

我现在有时会遇到这个问题部分原因是 Microsoft Office 自动保存您正在使用版本和自动恢复处理的文件很多时候当我在mathematica中启动一个新笔记本来做一些测试或其他事情时我经常忘记保存我正在做的事情时不时地根
ASP.Net 中的不同身份验证方式

我正在为我的公司开发一个网站该网站可以在我们的内部网络和互联网上访问有人问我一些对我来说似乎不可能的问题但我想在真正说之前问这个问题我们公司有两种类型的用户一种是实际在 Active Directory 中注册的用户等等拥有
如何使用 Create-React-App 节点服务器定义 MIME 类型？

我正在尝试处理这个 WebAssembly 注释注意要运行instantiateStreaming and compileStreaming 您需要您的网络服务器来提供 wasm 文件application wasmMIME 类型 ht
Java 8 lambda 和抽象类的接口扩展

说我想宣布Spring的RowMapper 但不是创建动态类而是实现一个实现 RowMapper 的抽象类这是我的方法签名 SqlProcedure declareRowMapper RowMapper
日志锻造强化修复

我正在使用 Fortify SCA 来查找我的应用程序中的安全问题作为大学作业我遇到了一些无法解决的日志锻造问题基本上我记录一些来自 Web 界面的用户输入的值 logger warn current id not valid

日志锻造强化修复

日志锻造强化修复 的相关文章

随机推荐

热门标签

日志锻造强化修复的相关文章