我正在使用Fortify SCA查找我的应用程序中的安全问题(作为大学作业)。我遇到了一些“日志锻造”问题,但我无法摆脱。
基本上,我记录了一些来自Web界面的用户输入值:
logger.warn("current id not valid - " + bean.getRecordId()));
Fortify报告这是一个日志伪造问题,因为getRecordId()返回了用户输入。
我遵循了这篇文章的方法,将换行符替换为空格,但问题仍然存在。
logger.warn("current id not valid - " + Util.replaceNewLine(bean.getRecordId()));
有没有人能建议一种解决这个问题的方法?
我知道这个问题已经有答案了,但我认为举一个例子会更好理解 :)
<?xml version="1.0" encoding="UTF-8"?>
<RulePack xmlns="xmlns://www.fortifysoftware.com/schema/rules">
<RulePackID>D82118B1-BBAE-4047-9066-5FC821E16456</RulePackID>
<SKU>SKU-Validated-Log-Forging</SKU>
<Name><![CDATA[Validated-Log-Forging]]></Name>
<Version>1.0</Version>
<Description><![CDATA[Validated-Log-Forging]]></Description>
<Rules version="3.14">
<RuleDefinitions>
<DataflowCleanseRule formatVersion="3.14" language="java">
<RuleID>DDAB5D73-8CF6-45E0-888C-EEEFBEFF2CD5</RuleID>
<TaintFlags>+VALIDATED_LOG_FORGING</TaintFlags>
<FunctionIdentifier>
<NamespaceName>
<Pattern/>
</NamespaceName>
<ClassName>
<Pattern>Util</Pattern>
</ClassName>
<FunctionName>
<Pattern>replaceNewLine</Pattern>
</FunctionName>
<ApplyTo implements="true" overrides="true" extends="true"/>
</FunctionIdentifier>
<OutArguments>return</OutArguments>
</DataflowCleanseRule>
</RuleDefinitions>
</Rules>
</RulePack>
Alina,我实际上是你用来解决日志注入问题的文章的作者。希望它对你有所帮助。
Vitaly在Fortify方面是正确的。您需要构建Fortify所称的“自定义规则”。
这很可能是一个数据流清理规则。可以在此处找到基本示例:http://www.cigital.com/newsletter/2009-11-tips.php。如果您拥有Fortify,则产品文档中应该有一个自定义规则编写指南。
我不知道您将使用哪个污点标记,但它看起来像“-LOG_FORGING”。您将基本上编写一个规则,在通过您的实用程序方法传递数据时删除日志伪造“污点”。 Fortify将假定通过那里传递的任何数据现在都是安全的,可以写入日志,并且不会导致日志伪造。
如果我没记错的话,你需要在Fortify中将你的replaceNewLine标记为sanitiser,这样就不会再报告这个问题了。
你实际上可以从特定的方法创建一个新规则。
在扫描完成后,导航到审计工作台右侧的函数。找到您的清理方法并右键单击。
您可以从中生成一个规则。您想要的是一个通用的DataflowCleanseRule。
我刚刚根据某人发布的xml文件做到了这一点。您可以将规则保存为.xml文件。更新扫描时,您可以传递-rule参数并指向.xml文件。