识别日志中的数据泄漏漏洞并对其进行缓解

什么要这么做呢?好处有很多：

• 可以快速解决组织出现的安全漏洞。在实践过程中，该方法可以大大加快安全防御的速度，以至于我们可以在识别出漏洞后的几分钟内建立起安全的防护措施，如果是走组织流程，则安全漏洞则会持续数天或数周。
• 当开发人员可以轻松地自行解决安全漏洞时，它可以使安全团队腾出精力来专注于整个组织的“全局”安全性。我希望安全工程师考虑如何选择框架、设置工具、帮助实现安全体系结构，以及构建深度防御，而不是找到我在本文所述的XSS漏洞。

我将以上过程称为“self-service DevSec。

接下来，我将介绍我们在日常开发工作过程中遇到的一个安全漏洞。我将讨论我们如何发现此漏洞的，以及如何在短短几个小时内修复整个安全漏洞，并使用Semgrep防止该漏洞再次发生。Semgrep是一个开源工具，用于使用熟悉的语法进行轻量级静态分析。

上个月，我正在与r2c的另一位工程师Clara McCreery一起调试Flask Web应用验证流程。就像许多工程师面临着令人困惑的调试问题一样，我们的第一步就是将Web应用程序放入调试日志记录。

具体来说，我们想知道数据库操作的情况，因此我们将OR

绝对不应该记录令牌，即使已安全地对其进行哈希处理。在此示例中，处于讲解的目的，实际令牌值已更改。

首先要制定一个计划

至此，我们已经确定了一个安全漏洞，并且希望在保留检查日志能力的同时修复此漏洞。具体步骤如下：

• 缓解当前的安全漏洞;
• 寻找一个永久的解决方案，以备不时之需。永久的解决方案意味着对我们的系统进行深层次的改变。理想情况下，该解决方案是在整个组织中自动化和无缝的。
• 添加一种机制来强制我们的解决方案在整个组织范围内使用。

接下来，我将指导你完成每个步骤。需要注意的是，我们能够在几个小时内完成整个流程，而无需与安全团队合作。

缓解当前的安全漏洞

这里的缓解措施非常简单，因为我们已经知道了漏洞的根本原因，为此可以快速还原日志记录的更改过程。然后，我们可以对日志进行快速审核，以确保仅泄漏了开发测试令牌。

永久解决方案

那我们如何防止SQLAlchemy记录敏感数据?

第一步是阅读文档。快速搜索“引擎日志中的sqlalchemy隐藏参数”将我们链接到SQLAlchemy Engine文档。稍后进行详细阅读，这样我们就发现了hide_parameters标志，该标志防止日志记录框架在日志或异常中发出任何参数。

虽然这肯定可以防止发现的安全漏洞，但对我们来说信息量太小了，因为我们想知道例如数据库ID等信息，以便进行调试。

（编辑：南通站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!