gpt4 book ai didi

s4sdk - CloudLoggerFactory 的 Sanitized Logger 在 Veracode Scan 中显示 CRLF 注入(inject)漏洞

转载 作者:行者123 更新时间:2023-12-02 00:55:10 25 4
gpt4 key购买 nike

我们使用 S4 SDK 的 CloudLoggerFactory 记录整个应用程序的异常。对于类“SampleClass”,我们创建一个这样的记录器:

private static final Logger logger = CloudLoggerFactory.getSanitizedLogger(SampleClass.class, "(END)");

并为异常 e 调用它:

    logger.error(e.getMessage(), e);

Veracode 扫描显示此日志行容易受到 CLRF 注入(inject)攻击。据我了解,getSanitizedLogger 与“(END)”参数相结合应该可以解决这个问题。你能提供一些关于这个问题的见解吗?

提前致谢!

最佳答案

实际上,我们计划在即将发布的主要版本中删除日志清理功能。

我们得出的结论是,它实际上给人一种错误的安全感,应该在记录器实现级别解决这个问题,而我们不能在 SDK 级别解决这个问题,因为我们只依赖于 Slf4j 抽象。

(免责声明:我是 SAP Cloud SDK 开发人员之一。)

关于s4sdk - CloudLoggerFactory 的 Sanitized Logger 在 Veracode Scan 中显示 CRLF 注入(inject)漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54785696/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com