私はFortify SCAを使用して、私のアプリケーション(大学の宿題)のセキュリティ問題を発見しています。私は、私が取り除くことができないいくつかの「ログ鍛造」問題に遭遇しました。ログフォージ強化フィックス
logger.warn("current id not valid - " + bean.getRecordId()));
をおよびFortifyには、問題を鍛造ログとしてこれを報告し、ユーザー入力を返すgetRecordId()理由:
基本的に、私は、Webインターフェイスからのユーザ入力として来るいくつかの値を記録します。
私はこのarticleを踏襲している、と私はスペースで「改行」を交換していますが、問題はまだ誰もがこの問題を解決する方法を提案することができます
logger.warn("current id not valid - " + Util.replaceNewLine(bean.getRecordId()));
を報告していますか?
私見それは、すべてのコンテンツについてです:)あなたはユーザー入力をサニタイズする必要があり、これがあるべき良い練習といいだろうと思った知っていますある種の状況では、(JavaからCアプリを呼び出す)異種ソフトウェアアーキテクチャのように、非正規化されたユーザ入力が危険になる可能性がある(新しい行を置換することは適切な墨塗りからは遠い))、フォーマット攻撃は、あなたがそれをスキップすることができます番号(長い、整数、ダブル)ですID:それは文字列の場合はそれもスキップすることができますが、それについて覚えて:)。 – fatfredyy