那些遇到过的问题

如何在不泄漏任何安全信息或堆栈跟踪的情况下记录错误?

Dar*_*ddy 7 java security error-logging exception-handling

当我在我的项目上运行Fortify Scan时,我确实看到我正在使用记录异常

LOGGER.error(e.getMessage(),e);
Run Code Online (Sandbox Code Playgroud)

并且它说这不是正确的方式,因为attckers可以访问此信息并从中获取系统信息并计划攻击.

这样做的最佳方式是什么?(没有对安全性进行编制)?

Ste*_*ker 6

在大多数情况下,这种推理坦率地说是荒谬的.你的Logger对象应写入本地文件系统,如果远程攻击者可以访问你的文件系统,你已经有了这样更大的问题.

根据需要限制对日志文件的访问,然后记录您的内容.

  • 如果您要登录到您的webroot,您应该解雇您的开发人员;-) (3认同)

归档时间:

查看次数:

3601 次

最近记录:

13 年,11 月 前
相关归档
如何在Java中创建临时目录/文件夹? 338
有一个return语句只是为了满足语法不良的做法吗? 82
如何在不指定类型的情况下引用我的Java Enum 76
如何从EditText返回一个int?(机器人) 68
如何防止Spring 3.0 MVC @ModelAttribute变量出现在URL中? 56
如何检查Java中的目录是否为空 56
在Objective-C中,异常/返回NO/nil的最佳实践是什么? 22
什么系统调用阻止/允许/检查来创建程序主管 8
处理内部异常的属性? 5
SAXException:尾随部分不允许使用内容 5
难疑归档
如何在shell脚本中打印JSON? 2905
是否有唯一的Android设备ID? 2645
.prop()vs .attr() 2249
如何将package.json中的每个依赖项更新为最新版本? 1871
静态类变量是否可能? 1824
如何在Linux中一步更改文件夹及其所有子文件夹和文件的权限? 1711
在Python中创建一个包含列表推导的字典 1216
在HTML中显示哪些字符可用于上/下三角(没有词干的箭头)? 1212
PHP和枚举 1114
如何初始化静态地图? 1084