Так почему же библиотека ESAPI активно не поддерживается с 2011 года? С тех пор был релиз .1 и релиз .1.1, вот и все. Нет активности. Почему мы должны использовать библиотеку, которая не соответствует последним требованиям безопасности с 2011 года?

весна глобальная@ExceptionHandler(Exception.class) метод, который регистрирует исключение следующим образом:

@ExceptionHandler(Exception.class)
void handleException(Exception ex) {
    logger.error("Simple error message", ex);
...

Сканирование Veracode говорит, что этоImproper Output Neutralization for Logs и предлагаю использовать ESAPI logger. Есть ли способ, как исправить эту уязвимость, не меняя регистратор на ESAPI? Это единственное место в коде, где я столкнулся с этой проблемой, и я пытаюсь выяснить, как ее исправить с минимальными изменениями. Может быть, у ESAPI есть какие-то методы, которые я не заметил?

Постскриптум Текущий регистратор - Log4j по slf4j

UPD: В конце концов я использовал ESAPI logger. Я думал, что он не будет использовать мою службу регистрации по умолчанию, но я ошибся и просто использовал интерфейс логгера slf4j с соответствующей конфигурацией.

private static final Logger logger = ESAPI.getLogger(MyClass.class);
...
logger.error(null, "Simple error message", ex);

ESAPI имеет расширение log4j logger и фабрики логгеров. Можно настроить, что использовать в ESAPI.properties. Например:

ESAPI.Logger=org.owasp.esapi.reference.Log4JLogFactory

Ответы на вопрос(0)

Ваш ответ на вопрос