我的声纳代码出现以下问题:-
确保此记录器的配置安全。
我写的代码是:-
public static final Logger logger = Logger.getLogger("logger");
if (logLevel.equalsIgnoreCase("info"))
logger.setLevel(Level.INFO);//line 1
else
logger.setLevel(Level.ALL);//line 2
在第1行和第2行上向我显示此错误。
答案 0 :(得分:0)
根据SonarQube rules,此规则标记用于启动记录器配置的审阅代码。
目标是指导安全代码审查。另外,没有办法通过代码来修复它,相反,您应该问自己是否:
- 未经授权的用户可能有权访问日志,这是因为它们存储在不安全的位置,或者是因为应用程序可以访问它们。
- 日志包含生产服务器上的敏感信息。当记录器处于调试模式时,可能会发生这种情况。
- 日志可以无限增长。每当用户执行某项操作并将附加信息写入日志并且用户可以根据需要执行多次操作时,就会发生这种情况。
- 日志中没有足够的信息来了解攻击者可能造成的损害。记录器模式(信息,警告,错误)可能会过滤掉重要信息。他们可能不会打印上下文信息,例如事件的确切时间或服务器主机名。
- 日志仅存储在本地,而不是备份或复制。
如果您对上述任何一个问题的回答是肯定的,那么您就有危险。
有关安全日志记录项目的更多信息,请检查owasp page