应用安全系列之四十五:日志伪造(Log_Forging)之三

1、简介

针对Java的日志系统有多种,本文主要描述如何通过修改配置文件来解决logback和log4j的日志伪造问题。

2、logback

2.1、系统提供的解决方案

logback.xml中配置编码器自动转义特殊字符:

XML 复制代码
复制
<configuration>
  <appender name="CONSOLE" class="ch.qos.logback.core.ConsoleAppender">
    <encoder>
      <pattern>%d{yyyy-MM-dd HH:mm:ss} [%thread] %-5level %logger{36} - %replace(%msg){'[\r\n]', '\\n'}%n</pattern>
    </encoder>
  </appender>
  
  <root level="INFO">
    <appender-ref ref="CONSOLE" />
  </root>
</configuration>

2.2、自定义的解决方案

对于Logback,可以创建自定义转换器:

java 复制代码
public class SanitizingConverter extends ClassicConverter {
    @Override
    public String convert(ILoggingEvent event) {
        return event.getFormattedMessage()
                   .replace("\n", "\\n")
                   .replace("\r", "\\r");
    }
}

再在配置文件中配置自定义的转换器:

XML 复制代码
<configuration>
  <conversionRule conversionWord="sanitizedMsg" 
                 converterClass="com.example.SanitizingConverter"/>
                 
  <appender name="CONSOLE" class="ch.qos.logback.core.ConsoleAppender">
    <encoder>
      <pattern>%d %sanitizedMsg%n</pattern>
    </encoder>
  </appender>
</configuration>

2、log4J

2.1 使用过滤器(Filter)

创建自定义Filter:

XML 复制代码
import org.apache.log4j.spi.Filter;
import org.apache.log4j.spi.LoggingEvent;

public class LogForgeFilter extends Filter {
    @Override
    public int decide(LoggingEvent event) {
        String message = event.getRenderedMessage();
        if (message != null && (message.contains("\n") || message.contains("\r"))) {
            return Filter.DENY; // 拒绝包含换行符的日志
        }
        return Filter.NEUTRAL;
    }
}

然后在配置中添加:

XML 复制代码
log4j.appender.CONSOLE.filter.1=com.yourpackage.LogForgeFilter

这种方法由于在异常情况下,会不记录日志,就会导致有些异常的日志被过滤调了,不利于后期的攻击的调查。建议还是使用其它方案,把所有的日志都记录下来。

2.2、Log4J 1.x

2.2.1、系统提供的解决方案

log4j.properties中添加或修改以下配置:

Groovy 复制代码
log4j.appender.CONSOLE.layout=org.apache.log4j.PatternLayout
log4j.appender.CONSOLE.layout.ConversionPattern=%d{yyyy-MM-dd HH:mm:ss} %-5p %c{1}:%L - %m%n
log4j.appender.CONSOLE.layout.replaceNewlines=true

2.2.2、自定义的解决方案

  1. 首先创建一个自定义的Layout类:
java 复制代码
import org.apache.log4j.PatternLayout;
import org.apache.log4j.spi.LoggingEvent;

public class SanitizingPatternLayout extends PatternLayout {
    @Override
    public String format(LoggingEvent event) {
        String message = super.format(event);
        // 替换换行符和回车符
        return message.replace("\n", "\\n").replace("\r", "\\r");
    }
}
  1. log4j.properties中使用这个自定义Layout:
XML 复制代码
log4j.appender.CONSOLE.layout=com.example.SanitizingPatternLayout
log4j.appender.CONSOLE.layout.ConversionPattern=%d{yyyy-MM-dd HH:mm:ss} %-5p %c{1}:%L - %m%n

2.3、Log4J 2

2.3.1、系统提供的解决方案

log4j2.xml中使用encode{}或替换模式:

XML 复制代码
<Configuration>
  <Appenders>
    <Console name="Console" target="SYSTEM_OUT">
      <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss} [%t] %-5level %logger{36} - %encode{%msg}{CRLF}%n"/>
    </Console>
  </Appenders>
  <Loggers>
    <Root level="info">
      <AppenderRef ref="Console"/>
    </Root>
  </Loggers>
</Configuration>

2.3.2、对所有输出进行编码处理

XML 复制代码
log4j.appender.CONSOLE.layout=org.apache.log4j.PatternLayout
log4j.appender.CONSOLE.layout.ConversionPattern=%d{ISO8601} [%t] %-5p %c - %encode{%m}%n

注意:标准Log4j 1.x不直接支持%encode,需要自定义PatternLayout或使用扩展库

相关推荐
treesforest16 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
上海云盾第一敬业销售16 天前
深入解析WAF的工作原理与机制
web安全·ddos
憧憬成为web高手16 天前
l33t-hoster
学习·web安全·网络安全
HackTwoHub16 天前
Sqli-Scanner SQL注入SKILL自动化挖掘SQL注入,零依赖自动化SQL注入挖掘,赏金猎人
数据库·人工智能·sql·web安全·网络安全·自动化·系统安全
zhengfei61116 天前
小白级手册——全面剖析红队信息收集思考
网络·安全·web安全
爱网络爱Linux16 天前
网络安全与渗透测试实用工具大全
web安全·网络安全·信息安全·cisp-pte·cisp·cissp
持敬chijing16 天前
Web渗透之SQL注入-常用sql语句
sql·安全·web安全·网络安全
顾凌陵16 天前
Web安全二阶段综合测试:知识点速查与实战技巧
安全·web安全
Chengbei1116 天前
AISec真正拟人化全自动渗透工具!支持浏览器交互全自动化挖掘,SQL注入、XSS、越权等。
sql·安全·web安全·网络安全·自动化·系统安全·xss
AI784017 天前
安全左移:网络安全从“亡羊补牢”走向“未雨绸缪”
网络·安全·web安全