ESAPI 日志注入
ESAPI log injection
由于可能存在日志注入,我在项目中包含了 ESAPI。
我使用它的唯一目的是这样的:
message = message.replace("\n", ERROR_MESS)
.replace("\r", ERROR_MESS)
.replace("\t", ERROR_MESS);
message = ESAPI.encoder().encodeForHTML(message);
但是,我显示了大量日志,例如:
ESAPI: WARNING: System property [org.owasp.esapi.opsteam] is not set
ESAPI: WARNING: System property [org.owasp.esapi.devteam] is not set
...
我有两个问题:
- 是否可以关闭此日志?如果有,怎么办?我通过创建新的 class 找到了一种方法,但是我正在寻找更像是在 ESAPI.properties 文件中设置它的方法。
- 是否真的需要只对那个方法使用 ESAPI.properties?有没有机会删除它并且它也能正常工作?
目前没有,但欢迎您随时 come over and help us 出去。只需为您想要的任何功能提交 PR。
如果没有 validation.properties 或 esapi.properties.,ESAPI 将不会加载这是设计使然。
我是 esapi-java 项目的联合负责人。
由于可能存在日志注入,我在项目中包含了 ESAPI。
我使用它的唯一目的是这样的:
message = message.replace("\n", ERROR_MESS)
.replace("\r", ERROR_MESS)
.replace("\t", ERROR_MESS);
message = ESAPI.encoder().encodeForHTML(message);
但是,我显示了大量日志,例如:
ESAPI: WARNING: System property [org.owasp.esapi.opsteam] is not set
ESAPI: WARNING: System property [org.owasp.esapi.devteam] is not set
...
我有两个问题:
- 是否可以关闭此日志?如果有,怎么办?我通过创建新的 class 找到了一种方法,但是我正在寻找更像是在 ESAPI.properties 文件中设置它的方法。
- 是否真的需要只对那个方法使用 ESAPI.properties?有没有机会删除它并且它也能正常工作?
目前没有,但欢迎您随时 come over and help us 出去。只需为您想要的任何功能提交 PR。
如果没有
validation.properties或esapi.properties.,ESAPI 将不会加载这是设计使然。
我是 esapi-java 项目的联合负责人。