一尘不染

如何修复Veracode CWE 117(日志的不正确输出中和)

java

有一个Spring全局@ExceptionHandler(Exception.class)方法记录如下异常:

@ExceptionHandler(Exception.class)
void handleException(Exception ex) {
    logger.error("Simple error message", ex);
...

Veracode扫描说此日志记录已经Improper Output Neutralization for Logs并建议使用ESAPI记录器。有什么方法可以解决此漏洞而无需将记录器更改为ESAPI?这是我在代码中唯一遇到此问题的地方,我试图找出如何用最少的更改来解决它。也许ESAPI有一些我没有注意到的方法?

PS Current logger是slf4j上的Log4j

UPD: 最后,我使用了ESAPI记录器。我以为它不会使用默认的日志记录服务,但是我错了,它只是使用了具有适当配置的slf4j记录器界面。

private static final Logger logger = ESAPI.getLogger(MyClass.class);
...
logger.error(null, "Simple error message", ex);

ESAPI具有log4j记录器和记录器工厂的扩展。可以配置它在ESAPI.properties中使用什么。例如:

ESAPI.Logger=org.owasp.esapi.reference.Log4JLogFactory

阅读 697

收藏
2020-12-03

共1个答案

一尘不染

有什么方法可以解决此漏洞而无需将记录器更改为ESAPI?

简而言之,是的。

TLDR:

首先了解错误的严重性。主要关注的是伪造日志记录。假设您有这样的代码:

log.error( transactionId + " for user " + username + " was unsuccessful."

如果任何一个变量都在用户控制下,则它们可以通过使用输入来注入错误的日志记录语句,例如\r\n for user foobar was successful\rn允许它们伪造日志并覆盖其记录。(嗯,在这种人为的情况下,只是让它变得很难看清楚发生了什么。)

第二种攻击方式更多是象棋动作。许多日志都是HTML格式的,可​​以在另一个程序中查看,在这个示例中,我们假设日志是要在浏览器中查看的HTML文件。现在我们进行注入<script src=”https://evilsite.com/hook.js” type=”text/javascript”></script>,您将在浏览器上安装了一个漏洞利用框架,该漏洞利用框架很可能以服务器管理员的身份执行…因为它怀疑CEO是否会读取日志。现在可以开始真正的破解了。

防御:

一种简单的防御方法是确保所有带有用户输入的日志语句都以明显的字符(例如“֎”)转义字符“ \ n”和“ \
r”,或者您可以执行ESAPI的操作并使用下划线转义。只要保持一致就没有关系,请记住不要使用会使您困惑的字符集。就像是userInput.replaceAll("\r", "֎").replaceAll("\n", "֎");

我还发现确保精确指定日志格式很有用…意味着您要确保对日志语句的外观和构造格式具有严格的标准,从而更容易捕获恶意用户。所有程序员都必须提交聚会并遵循格式!

为了抵御HTML场景,我将使用[OWASP编码器项目] [1]

至于为什么建议使用ESAPI,它是一个经过反复考验的库,但总的来说,这就是我们要做的。看代码:

/**
 * Log the message after optionally encoding any special characters that might be dangerous when viewed
 * by an HTML based log viewer. Also encode any carriage returns and line feeds to prevent log
 * injection attacks. This logs all the supplied parameters plus the user ID, user's source IP, a logging
 * specific session ID, and the current date/time.
 *
 * It will only log the message if the current logging level is enabled, otherwise it will
 * discard the message.
 *
 * @param level defines the set of recognized logging levels (TRACE, INFO, DEBUG, WARNING, ERROR, FATAL)
 * @param type the type of the event (SECURITY SUCCESS, SECURITY FAILURE, EVENT SUCCESS, EVENT FAILURE)
 * @param message the message to be logged
 * @param throwable the {@code Throwable} from which to generate an exception stack trace.
 */
private void log(Level level, EventType type, String message, Throwable throwable) {

    // Check to see if we need to log.
    if (!isEnabledFor(level)) {
        return;
    }

    // ensure there's something to log
    if (message == null) {
        message = "";
    }

    // ensure no CRLF injection into logs for forging records
    String clean = message.replace('\n', '_').replace('\r', '_');
    if (ESAPI.securityConfiguration().getLogEncodingRequired()) {
        clean = ESAPI.encoder().encodeForHTML(message);
        if (!message.equals(clean)) {
            clean += " (Encoded)";
        }
    }

    // log server, port, app name, module name -- server:80/app/module
    StringBuilder appInfo = new StringBuilder();
    if (ESAPI.currentRequest() != null && logServerIP) {
        appInfo.append(ESAPI.currentRequest().getLocalAddr()).append(":").append(ESAPI.currentRequest().getLocalPort());
    }
    if (logAppName) {
        appInfo.append("/").append(applicationName);
    }
    appInfo.append("/").append(getName());

    //get the type text if it exists
    String typeInfo = "";
    if (type != null) {
        typeInfo += type + " ";
    }

    // log the message
    // Fix for https://code.google.com/p/owasp-esapi-java/issues/detail?id=268
    // need to pass callerFQCN so the log is not generated as if it were always generated from this wrapper class
    log(Log4JLogger.class.getName(), level, "[" + typeInfo + getUserInfo() + " -> " + appInfo + "] " + clean, throwable);
}

参见第398-453行。这就是ESAPI提供的所有转义。我建议也复制单元测试。

[免责声明]:我是ESAPI的项目共同负责人。

[1]:https//www.owasp.org/index.php/OWASP_Java_Encoder_Project,并确保在进入记录语句时对输入进行正确的编码-
与将输入发送回用户时一样多。

2020-12-03