0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

保护Log4j日志中的敏感数据,两步搞定!

jf_ro2CN3Fa 来源:芋道源码 2023-10-18 16:03 次阅读

介绍

我们可以通过实现自定义日志附加程序并使用正则表达式来识别和屏蔽敏感信息,从而屏蔽 Spring Boot 应用程序的 log4j 日志中的敏感数据。以下是具体方法实战:

基于 Spring Boot + MyBatis Plus + Vue & Element 实现的后台管理系统 + 用户小程序,支持 RBAC 动态权限、多租户、数据权限、工作流、三方登录、支付、短信、商城等功能

  • 项目地址:https://github.com/YunaiV/ruoyi-vue-pro
  • 视频教程:https://doc.iocoder.cn/video/

第1步:创建自定义日志 Appender

创建一个扩展 log4j 提供的 AppenderSkeleton 的类。这个自定义appender将在日志消息写入日志之前拦截它们,并应用必要的屏蔽。

importorg.apache.log4j.AppenderSkeleton;
importorg.apache.log4j.spi.LoggingEvent;

publicclassMaskingAppenderextendsAppenderSkeleton{

@Override
protectedvoidappend(LoggingEventloggingEvent){
Stringmessage=loggingEvent.getMessage().toString();
StringmaskedMessage=maskSensitiveData(message);
loggingEvent.setMessage(maskedMessage);
super.append(loggingEvent);
}

@Override
publicvoidclose(){
//Cleanupresources,ifany
}

@Override
publicbooleanrequiresLayout(){
returnfalse;
}

privateStringmaskSensitiveData(Stringmessage){
//Implementyourlogictomasksensitivedatausingregularexpressions
//Fordemonstrationpurposes,let'sassumewewanttomaskcreditcardnumbers
returnmessage.replaceAll("\d{4}-\d{4}-\d{4}-\d{4}","****-****-****-****");
}
}

log4j中的一个appender负责将日志消息写入各种输出中。通过扩展AppenderSkeleton类,我们创建了一个自定义appender,它可以在将日志消息写入日志之前对其进行修改。

正则表达式(regex)是用于模式匹配和操作字符串的强大模式。在maskSensitiveData()方法中,我们使用regex来识别和替换敏感数据。在示例中,我们使用模式\d{4}-\d{4}-\d{4}-\d{4}匹配格式为“xxxx-xxxx”的信用卡号,并将其替换为“-”。

append()方法

log4j在准备添加日志消息时调用此方法。在MaskingAppender类中,我们覆盖这个方法来拦截日志消息,使用maskSensitiveData()方法对敏感数据应用masking,然后将修改后的消息传递给超类的append()方法。

基于 Spring Cloud Alibaba + Gateway + Nacos + RocketMQ + Vue & Element 实现的后台管理系统 + 用户小程序,支持 RBAC 动态权限、多租户、数据权限、工作流、三方登录、支付、短信、商城等功能

  • 项目地址:https://github.com/YunaiV/yudao-cloud
  • 视频教程:https://doc.iocoder.cn/video/

第2步:配置Log4j

在 Spring Boot 应用程序的配置文件中,我们需要配置 log4j 以使用自定义 Appender。我们还需要根据您的要求指定日志级别和其他设置。这是使用 application.properties 配置 log4j 的示例:

#Log4jconfiguration
log4j.rootLogger=INFO,maskedAppender

log4j.appender.maskedAppender=com.example.MaskingAppender
log4j.appender.maskedAppender.layout=org.apache.log4j.PatternLayout
log4j.appender.maskedAppender.layout.ConversionPattern=%d[%t]%-5p%c-%m%n

第3步:包含 Log4j

确保在Spring Boot应用的构建文件中有必要的log4j依赖项(例如,Maven的pom.xml):




log4j
log4j
1.2.17


第4步::测试日志屏蔽

现在,当我们在 Spring Boot 应用程序中使用 log4j 记录消息时,敏感数据将被自动屏蔽。例如:

importorg.apache.log4j.Logger;

publicclassSomeService{
privatestaticfinalLoggerlogger=Logger.getLogger(SomeService.class);

publicvoidprocessSensitiveData(Stringdata){
logger.info("Processingsensitivedata:"+data);//Sensitivedatawillbemaskedinthelogs
}
}

在应用程序代码中,可以使用log4j提供的Logger来记录消息。在本例中,我们使用logger.info()记录一条消息。包含敏感数据的日志消息作为字符串连接传递。MaskingAppender拦截此消息并在将其写入日志之前应用掩码。

在上面的例子中,如果数据参数中包含类似“1234—5678—9012—3456”的信用卡号,那么它将在日志输出中被屏蔽为“正在处理敏感数据:——

结论

通过遵循这些步骤和概念,可以有效地屏蔽Spring Boot应用程序log4j日志中的敏感数据。请记住根据我们的特定需求和敏感数据模式调整maskSensitiveData()方法中的掩码逻辑。


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 字符串
    +关注

    关注

    1

    文章

    579

    浏览量

    20511
  • 应用程序
    +关注

    关注

    37

    文章

    3268

    浏览量

    57694
  • 掩码
    +关注

    关注

    0

    文章

    3

    浏览量

    1218

原文标题:保护 Log4j 日志中的敏感数据,两步搞定!

文章出处:【微信号:芋道源码,微信公众号:芋道源码】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    slf4j打印日志必须的三个依赖包相关资料推荐

    1、slf4j打印日志必须的三个依赖包  日志相关包 slf4j打印日志必须的三个依赖包  slf4j
    发表于 10-19 14:57

    STM32Cube工具的log4j漏洞CVE-2021-44228和CVE-2021-45046有何影响?

    STM32Cube工具的log4j漏洞CVE-2021-44228和CVE-2021-45046有何影响?
    发表于 12-07 07:02

    java 日志框架Spring Boot分析

    应用程序输出相应的日志。 在传统Java应用程序,我们一般会使用类似Log4j这样的日志框架来输出
    发表于 09-28 14:58 0次下载

    logback异常输出详细信息(调用堆栈)分析

     Logback是一个开源的日志组件,是log4j的作者开发的用来替代log4j的。logback由三个部分组成,logback-core, logback-classic, logback-access。其中logback-c
    发表于 11-28 16:31 8334次阅读

    使用IBM Cloud超级保护加密服务保护敏感数据

    利用量子安全加密技术,为应对未来的威胁做好准备:尽管量子计算的目标是解决即便是世界上最强大的超级计算机也无法解决的复杂问题,但未来的容错量子计算机可能也会带来潜在风险,例如能够快速破解加密算法并访问敏感数据
    的头像 发表于 01-06 16:54 1685次阅读

    Java日志框架的王者是谁

    不及Apache 的新一代日志框架 - Log4j 目前来看,Log4j2 就是王者,其他日志框架都不是对手 Log4j2简介 Apache
    的头像 发表于 10-13 09:12 1366次阅读

    使用Keysight免费评估Log4j/Log4Shell零日漏洞

    在过去72小时左右的时间里,网络安全领域的大多数人已经意识到Log4j/Log4Shell零日漏洞及其对大多数web服务器、云应用程序、互联网设备和嵌入式设备的广泛影响。你可以阅读CVE-2021-44228记录的所有血淋淋的
    的头像 发表于 12-21 10:50 1536次阅读

    Log4-detector Log4J漏洞版本扫描器

    log4j-detector.zip
    发表于 05-06 11:55 0次下载
    <b class='flag-5'>Log4</b>-detector <b class='flag-5'>Log4J</b>漏洞版本扫描器

    log4j-finder Log4Shell漏洞扫描工具

    log4j-finder.zip
    发表于 05-06 11:54 1次下载
    <b class='flag-5'>log4j</b>-finder <b class='flag-5'>Log4</b>Shell漏洞扫描工具

    fix_log4j2 log4j2漏洞缓解工具

    fix_log4j2.zip
    发表于 05-06 10:22 0次下载
    fix_<b class='flag-5'>log4j</b>2 <b class='flag-5'>log4j</b>2漏洞缓解工具

    如何复现Log4j2漏洞

    ApacheLog4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用
    的头像 发表于 02-13 10:55 1380次阅读

    log4j日志框架分析

    og4j是Apache下的一款开源的日志框架,能够满足我们在项目中对于日志记录的需求。log4j提供了简单的API调用,强大的日志格式定义以
    的头像 发表于 02-28 14:32 1117次阅读
    <b class='flag-5'>log4j</b><b class='flag-5'>日志</b>框架分析

    Spring Boot的日志框架使用

    目前市面上常见的日志框架有:slf4j(Simple Logging Facade for Java)、logback、log4jlog4j2、commons-logging(Spr
    的头像 发表于 06-02 10:59 949次阅读
    Spring Boot的<b class='flag-5'>日志</b>框架使用

    基于Rust的Log日志库介绍

    了一种简单的方法来实现日志记录,本文将介绍如何使用Rust的Log库作为日志门面,并结合env_logger和log4rs
    的头像 发表于 09-19 14:49 3478次阅读

    Log4cpp优势及优点

    命令行、文件、回卷文件、内存、syslog服务器、Win事件日志等; 可以动态控制日志记录级别,在效率和功能中进行调整; 所有配置可以通过配置文件进行动态调整; 多语言支持,包括Java(log4j
    的头像 发表于 11-09 14:27 696次阅读
    <b class='flag-5'>Log4</b>cpp优势及优点