我使用Fortify的SCA找到我的應用程序中的安全問題(如大學功課)。我遇到了一些我無法擺脫的「日誌鍛造」問題。日誌鍛造強化修復
基本上,我記錄一些價值而來的用戶輸入從網絡接口:
logger.warn("current id not valid - " + bean.getRecordId()));
和Fortify的這個報告作爲日誌鍛造的問題,因爲getRecordId()返回用戶輸入。
我跟了這article,而我與替換空間「新線」,但問題仍然報道
logger.warn("current id not valid - " + Util.replaceNewLine(bean.getRecordId()));
任何人都可以提出一個方法來解決這個問題?
恕我直言,這是所有關於內容,:)你有消毒用戶輸入一個很好的做法,這應該是視爲一種警告,在某些情況下,如異構軟件體系結構(從JAVA調用C應用程序)未經規範的用戶輸入可能是危險的(更換新行遠非適當的清理;)),格式攻擊也可能構成威脅, ID是一個數字(Long,Integer,Double),你可以跳過它:),如果它是字符串,你也可以跳過它但記住它:)。 – fatfredyy