SpringBoot项目中解决Fortify漏洞Log Forging日志伪造

最新推荐文章于 2025-07-03 17:00:55 发布
原创 最新推荐文章于 2025-07-03 17:00:55 发布 · 5.9k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博客聚焦Java后端主流技术栈,涉及原理、源码分析与架构等。还给出Web应用程序代码示例,指出攻击者可利用机制插入任意日志条目,存在Log Forging漏洞,并提供过滤敏感字符的公共方法作为修复方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

欢迎大家关注我的公众号【老周聊架构】,Java后端主流技术栈的原理、源码分析、架构以及各种互联网高并发、高性能、高可用的解决方案。

一、例子

下列 Web 应用程序代码会尝试从一个请求对象中读取整数值。如果数值未被解析为整数,输入就会被记录到日志中,附带一条提示相关情况的错误消息。

String val = request.getParameter("val");

try {

  int value = Integer.parseInt(val);

}catch (NumberFormatException nfe) {

  log.info("Failed to parse val = " + val);

}

如果用户为“val”提交字符串“twenty-one”,则日志中会记录以下条目:

INFO: Failed to parse val=twenty-one

然而,如果攻击者提交字符串 “twenty-one%0a%0aINFO:+User+logged+out%3driemann”,则日志中会记录以下条目:

INFO: Failed to parse val=twenty-one

INFO: User logged out=riemann

显然,攻击者可以使用同样的机制插入任意日志条目。

修复方案,过滤引起Log Forging漏洞的敏感字符的公共方法

二、解决方案

/**
 * Log Forging漏洞校验
 * @param logs
 * @return
 */
public static String vaildLog(String logs) {
    List<String> list = new ArrayList<String>();
    list.add("%0a");
    list.add("%0A");
    list.add("%0d");
    list.add("%0D");
    list.add("\r");
    list.add("\n");
    String normalize = Normalizer.normalize(logs, Normalizer.Form.NFKC);
    for (String str : list) {
        normalize = normalize.replace(str, "");
    }
    return normalize;
}
解决xss/logforging安全漏洞
qq_37549757的博客
03-29 1834
注明: 本文为整理记录笔记,不喜勿喷。有问题请留言。CSDN转载必须有原文链接,有些链接找不到了,原文看到了可以留言私我。 漏洞描述: XSS:跨站脚本攻击(Cross Site Script)是一种将恶意JavaScript代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览该页时,这些嵌入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如cookie窃取、帐户劫持、拒绝服务攻击等。
Fortify漏洞Log Forging日志伪造
arkqyo2595的博客
05-14 1830
  继续对Fortify漏洞进行总结,本篇主要针对Log Forging日志伪造)的漏洞进行总结,如下: 1.1、产生原因: 在以下情况下会发生 Log Forging漏洞: 1. 数据从一个不可信赖的数据源进入应用程序。 2. 数据写入到应用程序或系统日志文件中。   为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。...
Spring Boot 项目 90% 存在这 15 个致命漏洞!你的代码在裸奔吗?
最新发布
z1ztai的博客
07-03 871
项目中的安全问题不容忽视,开发者需要时刻保持警惕,采取积极的措施来保护应用的安全。安全无小事,防范胜于补救!希望大家都能重视 Spring Boot 的安全问题,让我们的应用更加安全可靠。
Fortify:Log Forging问题解决
windfbi
06-08 3211
文章目录背景解决步骤1. 自定义Converter2. logback.xml配置Converter 背景 公司上线前进行静态代码扫描,项目中出现大量Log Forging问题,需要解决大量该类问题才能上线。攻击者通过伪造请求参数(包括headers)访问服务,如果服务端直接将参数打印到日志中,攻击者就可以随意伪造日志输出结果,造成严重后果。 解决步骤 1. 自定义Converter public class LogFilter extends ClassicConverter { @Overrid
Springboot项目解决日志伪造笔记
qq_53121751的博客
09-03 1194
Springboot项目解决日志伪造笔记
CWE-117日志伪造漏洞
weixin_44689968的博客
04-14 2515
CWE-117日志伪造漏洞 1.日志伪造日志条目包含未经过授权的用户输入时,会造成日志伪造。攻击者可以通过向应用程序提供包含特殊字符的内容,在日志文件中插入错误的条目。当日志文件自动处理时会将恶意条目写入日志文件,错误的日志条目会破坏文件格式,可以由此掩盖攻击者的入侵轨迹。或者通过回车符和换行符构造输入,将合法的日志条目进行拆分。 2.日志伪造的危害 利用该漏洞可以跨越信任边界获取敏感数据,攻击者将脚本注入日志文件,在使用 Web 浏览器查看文件时,浏览器可以向攻击者提供管理员 Cookie 的
Log Forging (FORTIFY.Log_Forging)解决办法
阳光
09-30 1万+
下列 Web 应用程序代码会尝试从一个请求对象中读取整数值。如果数值未被解析为整数,输入就会被记录到日志中,附带一条提示相关情况的错误消息。 ... String val = request.getParameter("val"); try {   int value = Integer.parseInt(val); }catch (NumberFormatException nfe) ...
[20][03][71] Log Forging
安全新司机
12-20 2080
文章目录1. 描述2. 复现问题3. 修复方案 1. 描述 Log Forging日志伪造漏洞 在日常开发中为了便于调试和查看问题,需要通过日志来记录信息,java 中常见的日志组件 log4j, logback 等 查看日志文件可在必要时手动执行,也可以自动执行,即利用工具自动挑选日志中的重要事件或带有某种倾向性的信息,如果攻击者可以向随后会被逐字记录到日志文件的应用程序提供数据,则可能会妨碍或误导日志文件的解读 如果日志文件是自动处理的,那么攻击者就可以通过破坏文件格式或注入意外的字符,从而使文件无
fortify 漏洞扫描的几种解决方式
热门推荐
wuhenlove的博客
08-22 2万+
1.    关于Log的问题(Log Forging),整个系统中,对于Log的问题最多,可以采用以下方式进行解决解决方案如下: 1) 只输出必要的日志,功能上线前屏蔽大多数的调试日志。 2) 过滤掉非法字符:   2.    关于创建File(Path Manipulation)的问题。 Fortify扫描遇到了Path Manipulation问题,定位代码如下: 1
Spring boot项目Fortify漏洞扫描问题解决
夏日清风
09-01 5863
一、背景 前段时间公司使用Fortify工具对项目源码进行安全漏洞扫描,结果报出Dynamic Code Evaluation: Unsafe Deserialization漏洞。整个项目是基于Spring boot框架开发的。 二、问题源 Fortify工具明确指出该安全漏洞是由于引入了Spring Boot Actuator依赖导致的 <dependency> <groupId>org.springframework.boot</grou...
Fortify漏洞扫描解决方案手册中文版解析
根据描述,这份手册总共244页,提供了常规的漏洞解决方案。这意味着手册中不仅涵盖了Fortify工具的使用方法,而且详细介绍了每种识别出的漏洞类型及其修复方法,包括但不限于: 1. **漏洞的基本概念**:为读者提供...
Fortify解决方案手册(中文版).zip
06-16
4. **最佳实践**:除了具体的漏洞解决方案,手册还分享了一些代码安全的最佳实践,如遵循最小权限原则、输入验证、加密敏感数据等,旨在提高整体代码质量,减少安全风险。 5. **案例研究**:可能包含实际的项目案例...
spring-boot日志框架漏洞修复
专注Java(全栈)应用开发,求知若渴,虚心若愚,talk is cheap, show me the code.
08-12 606
Configuration后面的status,这个用于设置log4j2自身内部的信息输出,可以不设置,当设置成trace时,你会看到log4j2内部各种详细输出。日志级别以及优先级排序: OFF > FATAL > ERROR > WARN > INFO > DEBUG > TRACE > ALL。格式化输出:%date表示日期,%thread表示线程名,%-5level:级别从左显示5个字符宽度 %msg:日志消息,%n是换行符。低于2.6.2的版本都存在log4j注入漏洞。输出控制台日志的配置。...
log forging
weixin_30247781的博客
08-02 856
为了防止日志攻击,我们一般采用在打印日志的地方过滤,过滤方法如下: public static String validLog(String log) { List<String> list = new ArrayList<>(); list.add("%0d"); list.add("\r"); list.add("%0a"); li...
日志伪造与修复
zqmattack的博客
06-21 484
摘要:日志记录未验证的用户输入可能导致日志伪造攻击,攻击者可注入恶意内容破坏日志完整性。示例代码中若直接记录未经处理的用户名,当输入包含换行符时会产生误导性日志信息。修复方案建议采用正则表达式验证输入格式(如仅允许字母数字和下划线),对非法输入记录统一信息而非原始内容。该方法通过输入验证防止日志注入,确保日志数据的真实性和可靠性。
自动修复360代码卫士扫描出来的日志伪造和删除main方法
因为热爱,所以付出
11-07 2102
项目经过360代码卫士扫描以后或多或少有些漏洞,既然公司要求扫描,那就会要求修复,进入正题,如文章标题,本篇文章主要涉及一个jar包工具,功能主要实现如下功能: 解决项目中360扫描出来的【输入验证》日志伪造漏洞 解决前: logger.debug(“xxxxx”+message); 解决后: String logDebugStr = StringEscapeUtils.escapeE...
开发安全之:Log Forging
irizhao的专栏
01-19 1505
根据应用程序自身的特性,审阅日志文件可在必要时手动执行,也可以自动执行,即利用工具自动挑选日志中的重要事件或带有某种倾向性的信息。最理想的情况是,攻击者可能通过向应用程序提供包括适当字符的输入,在日志文件中插入错误的条目。更阴险的攻击可能会导致日志文件中的统计信息发生偏差。更好的方法是创建一个字符列表,允许其中的字符出现在日志条目中,并且只接受完全由这些经认可的字符组成的输入。在大多数 Log Forging 攻击中,最关键的字符是“\n”换行符,这样的字符决不能出现在日志条目允许列表中。
Log Forging-解决办法%0d、\r、\n等特殊字符过滤,日志打印方法,用反射调用
兴趣是最好的老师
09-26 330
在 Java 中,为了防止日志注入(Log Forging)攻击,需要对日志中的特殊字符(如 %0d, \r, \n。这可以通过编写一个专门的日志打印方法,并使用反射调用来实现。首先,我们定义一个日志打印方法,该方法会对传入的日志消息进行特殊字符过滤,并使用反射调。反射调用:使用 logWithReflection 方法通过反射调用实际的日志方法。回车符)等特殊字符的过滤,并展示一个使用反射来动态调用日志打印方法的例子。这种方法不仅提高了日志的安全性,还保证了日志消息的正确性和一致性。
应用安全系列之四十五:日志伪造Log_Forging)之一
jimmyleeee的专栏
04-03 697
在记录日志之前,对需要记录的字符串进行格式或者取值范围进行验证,如果验证之后的字符串保证不会含有回车和换行字符,也可以避免日志伪造的攻击。日志伪造Log Forging),也叫日志注入(Log Injection),是指攻击者通过向应用程序输入恶意数据,使这些数据被记录到日志中,从而破坏日志的完整性、可读性,甚至执行恶意操作。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

老周聊架构

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值