Как исправить Veracode CWE 117 (неправильная нейтрализация вывода журналов) ⇐ JAVA

[Anonymous]

Существует глобальный метод @ExceptionHandler(Exception.class) Spring, который регистрирует такое исключение:

@ExceptionHandler(Exception.class)
void handleException(Exception ex) {
logger.error("Simple error message", ex);
...


Сканирование Veracode показывает, что это журналирование имеет неправильную нейтрализацию вывода для журналов и предлагает использовать средство ведения журнала ESAPI. Есть ли способ исправить эту уязвимость, не меняя регистратор на ESAPI? Это единственное место в коде, где я столкнулся с этой проблемой и пытаюсь придумать, как ее исправить с минимальными изменениями. Может быть, в ESAPI есть какие-то методы, которые я не заметил?

P.S. Текущий регистратор — Log4j вместо slf4j

UPD:
В конце концов я использовал регистратор ESAPI. Я думал, что он не будет использовать мою службу ведения журнала по умолчанию, но я ошибался, и он просто использовал мой интерфейс журнала slf4j с соответствующей конфигурацией.

private static final Logger logger = ESAPI.getLogger(MyClass.class);
...
logger.error(null, "Simple error message", ex);


ESAPI имеет расширение логгера log4j и фабрику логгеров. В ESAPI.properties можно настроить, что использовать. Например:

ESAPI.Logger=org.owasp.esapi.reference.Log4JLogFactory


Подробнее здесь: https://stackoverflow.com/questions/449 ... n-for-logs