欢迎大家关注我的公众号【老周聊架构】,Java后端主流技术栈的原理、源码分析、架构以及各种互联网高并发、高性能、高可用的解决方案。
一、例子
下列 Web 应用程序代码会尝试从一个请求对象中读取整数值。如果数值未被解析为整数,输入就会被记录到日志中,附带一条提示相关情况的错误消息。
String val = request.getParameter("val");
try {
int value = Integer.parseInt(val);
}catch (NumberFormatException nfe) {
log.info("Failed to parse val = " + val);
}
如果用户为“val”提交字符串“twenty-one”,则日志中会记录以下条目:
INFO: Failed to parse val=twenty-one
然而,如果攻击者提交字符串 “twenty-one%0a%0aINFO:+User+logged+out%3driemann”,则日志中会记录以下条目:
INFO: Failed to parse val=twenty-one
INFO: User logged out=riemann
显然,攻击者可以使用同样的机制插入任意日志条目。
修复方案,过滤引起Log Forging漏洞的敏感字符的公共方法
二、解决方案
/**
* Log Forging漏洞校验
* @param logs
* @return
*/
public static String vaildLog(String logs) {
List<String> list = new ArrayList<String>();
list.add("%0a");
list.add("%0A");
list.add("%0d");
list.add("%0D");
list.add("\r");
list.add("\n");
String normalize = Normalizer.normalize(logs, Normalizer.Form.NFKC);
for (String str : list) {
normalize = normalize.replace(str, "");
}
return normalize;
}
更多推荐
SpringBoot项目中解决Fortify漏洞Log Forging日志伪造
发布评论