iT邦幫忙

2024 iThome 鐵人賽

DAY 25
1
Security

WEB仔也要懂資安嗎系列 第 25

25/Security Logging and Monitoring Failures-Improper Output Neutralization for Logs

  • 分享至 

  • xImage
  •  

Security Logging and Monitoring Failures,指的是系統的LOG沒做好規劃或缺乏監控機制等相關弱點。

OWASP 同樣也列舉了幾個有關的CWE弱點:

CWE-117 Improper Output Neutralization for Logs
CWE-223 Omission of Security-relevant Information
CWE-532 Insertion of Sensitive Information into Log File
CWE-778 Insufficient Logging

其中Improper Output Neutralization for Logs,是指系統沒有將輸入的資料做好檢核,就印到Log裡面,這麼做可能導致攻擊者可以藉此將有害的指令藏在資料當中,藉由log印出後讓人誤觸執行,也有可能藉此塞入不實資訊擾亂維運人員藉由log判斷問題。


上一篇
24/Software and Data Integrity Failures-Deserialization of Untrusted Data
下一篇
26/Security Logging and Monitoring Failures-Omission of Security-relevant Information
系列文
WEB仔也要懂資安嗎30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言