在Veracode中使用slf4j记录器时的CRLF注入漏洞(CWE 117)

Question

这是一个slf4j记录器，我一直试图用两个消息参数记录错误。

catch(ExecutionException executionException) {

LOGGER.error("TimeoutException caught , Error: " + SSG_TIMEOUT.getErrorText() 
       + ". Message: " +executionException.getMessage());    
}  

SSG_TIMEOUT.getErrorText()结果为字符串"TimeOut error encountered"

我用的东西

1. 手册消毒代码

返回entry.replace("\t“、"\t").replace("\b”、"\b").replace("\n“、"\n").replace("\r”、"\r").replace("\f“、”\f“).replace(”\0000“、”\0“).replace(”a“、”a“).replace(”\v“、"\v").replace("\e”、(“\e”).replaceAll(“p{Cntrl}”、"").replace("'“、”\‘“).replace(”\“、”\“).replace(”\“、”\“)；

1. StringEscapeUtils.escapeJson(String errorMessage)

添加字符串+ escapeJson(StringBuilder.toString())的

1. 字符串生成器

不过，我还是在veracode的报告中看到了这个问题。

有什么建议吗？

Answer 1

首先，前2种消毒方法是正确的，只是没有Veracode的支持。

在使用一种方法之前，我们应该访问https://help.veracode.com/r/review_cleansers中支持的清洁功能

因此，对于上述问题，StringUtils.normalizeSpace()成功了。"StringUtils.escapeJava“也可以使用，但似乎不可取。

索伦：

    catch(ExecutionException executionException) {

    LOGGER.error("TimeoutException caught , Error: " + 
    StringUtils.normalizeSpace(SSG_TIMEOUT.getErrorText() 
    }