Tag: 强化

日志锻造强化修复: 我正在使用Fortify SCA来查找我的应用程序中的安全问题（作为大学作业）。我遇到了一些我无法摆脱的“Log Forging”问题。基本上，我记录了一些来自Web界面的用户输入值： logger.warn(“current id not valid – ” + bean.getRecordId())); 并且Fortify将此报告为日志伪造问题，因为getRecordId（）返回用户输入。我已经关注了这篇文章，我正在用空格替换“新行”，但问题依然存在 logger.warn(“current id not valid – ” + Util.replaceNewLine(bean.getRecordId())); 任何人都可以提出解决此问题的方法吗？

用于XSS预防的ESAPI不起作用: 我正在我们的代码中主要在JSPS中修复Cross站点脚本问题。以下是原始代码 //scriplet code 他们拥有相同的Jsp <input type = hidden name = "userID" value = "” /> 我做了更改，在lib和ESAPI.properties中包含esapi-2.1.0.jar，在classpath中包含validation.properties。然后在下面更改scriplet代码以修复上面的代码 //scriplet code 我认为这可以解决问题，但是当我使用Fortify扫描我的代码时，这些行再次突出显示为有XSS问题。如果你们对如何处理这个问题有任何想法，请帮忙。谢谢。 ——-更新非常感谢@avgvstvs。这是非常有见地的.Follwd指南，不确定我是否有点想念。代码 – String userSID=ESAPI.encoder().encodeForHTMLAttribute(request.getHeader(“janus_sid”)); session.setAttribute(“username”,userSID);<input type=hidden name="USERNAME" value="” 对于另一个varibale调试，下面是用法 String debugFlag = ESAPI.encoder().encodeForJavaScript(request.getParameter(“debug”));var debugFlag = “”;if(debugFlag == “y”){ document.title= title + ” (” + host + “)”; defaultAppTitle = […]