如何消除VeraCode檢測中的CRLF Injection Issue(CWE ID 117)

          Veracode是一個檢測應用程序是否存在安全漏洞的工具,更多細節請訪問http://www.veracode.com

          這里主要總結一下如何消除Veracode檢測結果中的CRLF(Carriage Return, Line Feed) Injection Issue(CWE ID 117)。

          首先,先看看VeraCode對CRLF Injection Issue的定義:
          The acronym CRLF stands for "Carriage Return, Line Feed" and refers to the sequence of characters used to denote the end of a line of text.  CRLF injection vulnerabilities occur when data enters an application from an untrusted source and is not properly validated before being used.  For example, if an attacker is able to inject a CRLF into a log file, he could append falsified log entries, thereby misleading administrators or cover traces of the attack.  If an attacker is able to inject CRLFs into an HTTP response header, he can use this ability to carry out other attacks such as cache poisoning.  CRLF vulnerabilities primarily affect data integrity.

          再看卡VeraCode對如何解決這個問題的建議:
          Apply robust input filtering for all user-supplied data, using centralized data validation routines when possible.  Use output filters to sanitize all output derived from user-supplied input, replacing non-alphanumeric characters with their HTML entity equivalents.

          舉例:
          log.debug("xxxxxxxxxxxxxx");
          //這里的xxxxx部分內容可能是從環境變量或者外部獲取的,所以Veracode認為存在CRLF的安全隱患。

          通過對現有系統的實踐證明,對于這類CRLF Injection Issue,消除時主要遵循以下原則:

          1)使用Character.isISOControl去除變量中的ctrl類控制符
          2) 驗證后返回新的字符串變量

            
          public static final String removeControlCharacter(String input)
              {
                  
          if (input == null)
                  {
                      
          return "";
                  }
                  StringBuilder sb 
          = new StringBuilder();
                  
          for (int i=0; i<input.codePointCount(0, input.length()); i++)
                  {
                      
          int codePoint = input.codePointAt(i);
                      
          if(!Character.isISOControl(codePoint))
                      {
                          sb.appendCodePoint(codePoint);
                      }
                  }
                  
          return sb.toString();
              }
              
          修改后如下所示:
          log.debug(FileUtil.removeControlCharacter("xxxxxxxxxxxxxx"));

          posted on 2011-09-06 10:49 想飛就飛 閱讀(2194) 評論(0)  編輯  收藏


          只有注冊用戶登錄后才能發表評論。


          網站導航:
           

          公告


          導航

          <2011年9月>
          28293031123
          45678910
          11121314151617
          18192021222324
          2526272829301
          2345678

          統計

          常用鏈接

          留言簿(13)

          我參與的團隊

          隨筆分類(69)

          隨筆檔案(68)

          最新隨筆

          搜索

          積分與排名

          最新評論

          閱讀排行榜

          評論排行榜

          主站蜘蛛池模板: 建始县| 上虞市| 宿州市| 嫩江县| 河间市| 镇宁| 荣成市| 天祝| 辰溪县| 宁南县| 闻喜县| 洪洞县| 山东省| 子洲县| 屏东市| 宽城| 桦甸市| 阳泉市| 屯门区| 马山县| 万年县| 微博| 犍为县| 阳泉市| 綦江县| 阜宁县| 宣威市| 公主岭市| 温宿县| 锡林浩特市| 建德市| 冷水江市| 乌拉特前旗| 乳源| 邯郸市| 二连浩特市| 石门县| 鹤庆县| 凤庆县| 曲水县| 蓬溪县|