लॉग फोर्ट फोर्टिंग फिक्स

Question

मैं अपने आवेदन में सुरक्षा मुद्दों को खोजने के लिए फोर्टिफा एससीए का उपयोग कर रहा हूं (एक विश्वविद्यालय होमवर्क के रूप में)। मुझे कुछ 'लॉग फोर्जिंग' मुद्दों का सामना करना पड़ा है, जिन्हें मैं छुटकारा पाने में सक्षम नहीं हूं।

असल में, मैं कुछ मूल्यों है कि एक वेब इंटरफेस से उपयोगकर्ता इनपुट के रूप में आ लोग इन:

logger.warn("current id not valid - " + bean.getRecordId())); 

और मज़बूत एक लॉग मुद्दा फोर्जिंग के रूप में इस रिपोर्ट करती है, क्योंकि getRecordId() एक उपयोगकर्ता इनपुट देता है।

मैं इस article का पालन किया है, और मैं अंतरिक्ष के साथ 'नई लाइन' की जगह रहा हूँ, लेकिन समस्या अभी भी

logger.warn("current id not valid - " + Util.replaceNewLine(bean.getRecordId())); 

रिपोर्ट किया गया है किसी को भी इस समस्या को हल करने के लिए एक तरह से बता सकते हैं?

Answer 1

एलीना, मैं वास्तव में उस लेख का लेखक हूं जिसका उपयोग आपने अपने लॉग इंजेक्शन मुद्दे को हल करने के लिए किया था। उम्मीद है कि यह सहायक था।

विटाली फोर्टिफ़ी के संबंध में सही है। आपको फोर्टिफ़ाई को "कस्टम नियम" कहने के लिए क्या करना होगा।

यह एक डेटाफ्लो क्लीनसे नियम होगा। यहां एक मूल उदाहरण पाया जा सकता है: http://www.cigital.com/newsletter/2009-11-tips.php। यदि आप फोर्टिफ़ाई के स्वामी हैं, तो आपके उत्पाद प्रलेखन में एक कस्टम नियम लेखन मार्गदर्शिका होनी चाहिए।

मुझे नहीं पता कि आप किस टेंट ध्वज का उपयोग करेंगे, लेकिन यह "-LOG_FORGING" जैसा कुछ दिखाई देगा। जब भी आपकी उपयोगिता विधि के माध्यम से डेटा पारित किया जाता है तो आप अनिवार्य रूप से "टेंट" लॉगिंग को हटाने के लिए एक नियम लिखेंगे। Fortify उन्हें लगता है कि वहाँ से गुजरने वाला कोई भी डेटा अब लॉग में लिखा जाना सुरक्षित है, और लॉग फोर्जिंग का कारण नहीं बनता है।

Answer 2

आपको फोर्टिफ़ाई (यदि मुझे सही याद है) में अपनी प्रतिस्थापन न्यूलाइन को सैनिटाइज़र के रूप में चिह्नित करने की आवश्यकता है और यह समस्या की रिपोर्ट करना बंद कर देगा।

Answer 3

मैं इस पहले से ही उत्तर पता था, लेकिन मैंने सोचा था कि एक उदाहरण अच्छा होगा :)

<?xml version="1.0" encoding="UTF-8"?> 
<RulePack xmlns="xmlns://www.fortifysoftware.com/schema/rules"> 
    <RulePackID>D82118B1-BBAE-4047-9066-5FC821E16456</RulePackID> 
    <SKU>SKU-Validated-Log-Forging</SKU> 
    <Name><![CDATA[Validated-Log-Forging]]></Name> 
    <Version>1.0</Version> 
    <Description><![CDATA[Validated-Log-Forging]]></Description> 
    <Rules version="3.14"> 
    <RuleDefinitions> 
     <DataflowCleanseRule formatVersion="3.14" language="java"> 
     <RuleID>DDAB5D73-8CF6-45E0-888C-EEEFBEFF2CD5</RuleID> 
     <TaintFlags>+VALIDATED_LOG_FORGING</TaintFlags> 
     <FunctionIdentifier> 
      <NamespaceName> 
      <Pattern/> 
      </NamespaceName> 
      <ClassName> 
      <Pattern>Util</Pattern> 
      </ClassName> 
      <FunctionName> 
      <Pattern>replaceNewLine</Pattern> 
      </FunctionName> 
      <ApplyTo implements="true" overrides="true" extends="true"/> 
     </FunctionIdentifier> 
     <OutArguments>return</OutArguments> 
     </DataflowCleanseRule> 
    </RuleDefinitions> 
    </Rules> 
</RulePack>