Я использую Fortify SCA, чтобы найти проблемы безопасности в своем приложении (в качестве домашнего задания в университете). Я столкнулся с некоторыми проблемами «Подделки журнала», от которых я не могу избавиться.
По сути, я регистрирую некоторые значения, которые поступают в виде пользовательского ввода из веб-интерфейса:
logger.warn("current id not valid - " + bean.getRecordId()));
и Fortify сообщает об этом как о проблеме подделки журнала, поскольку getRecordId() возвращает пользовательский ввод.
Я следил за этой статьей и я заменяю «новую строку» пробелом, но о проблеме все еще сообщается
logger.warn("current id not valid - " + Util.replaceNewLine(bean.getRecordId()));
Может ли кто-нибудь предложить способ исправить эту проблему?