我在veracode工具中运行了我的安全编译应用程序。并且只要该工具找到任何日志记录,它就会被检测为代码缺陷缺陷说在报价下面
日志输出中和不当
Description] >>
函数调用可能会导致日志伪造攻击。将未经消毒的用户提供的数据写入日志文件可以攻击者伪造日志条目或将恶意内容注入日志文件。损坏的日志文件可用于覆盖攻击者的踪迹或作为对日志查看或处理实用程序进行攻击的传递机制。例如,如果一个网站管理员使用基于浏览器的实用程序来查看日志,可能会发生跨站点脚本攻击。**
在我的日志中,我确实打印了来自其他接口的xml,因此没有与应用程序相关的GUI,所以我可以消除这个缺陷。
请让我知道这是否不是提出这个问题的合适论坛。谢谢
我在veracode工具中运行了我的安全编译应用程序。而且,只要该工具发现任何日志记录,就会将其检测为代码中的缺陷,并且该缺陷如下所述:...
因此,将不可信数据转储到日志文件中存在两个主要问题。
问题似乎是未消毒
这都是很好的指导。在Veracode平台的“分类缺陷”视图中,还直接链接了来自OWASP和其他来源的特定于缺陷的信息。
我们应该验证来自用户的数据,因为用户/攻击者输入的数据可能包含垃圾字符。