使用硬编码密码 [CWE - 259]
[英]Use of Hard-coded Password [CWE - 259]
问题描述
在检查我的 veracode 问题时,我在我的一个类文件中发现了这个 CWE 259 Use of Hard-coded Password。 检查该文件时,该文件的第一行负责此漏洞,即我的包名称。 任何人都可以告诉我为什么会发生这种情况,或者这是 veracode 扫描逻辑的一些缺陷。
在这个类文件中,它们是打印“密码”一词的地方。 作为预防措施,我尝试通过注释这些行并再次扫描它。 但问题被抛在同一条线上。
package com.name.ta.etc.cse;
2 个解决方案
解决方案1
2 2019-07-01 14:16:40
MITRE 的CWE 259页面准确说明了漏洞的含义并提供了示例,并提出了一些建议以纠正或减轻应用程序中的漏洞。
Veracode 或 SonarQube 等代码检查工具也可以标记误报(它们检测到漏洞,但并不存在)。 我有一个案例,Sonar 标记了这个问题,其中我有一个静态最终变量(即:常量),名称中带有PASSWORD一词,Sonar 认为这是实际密码,而实际上它是从中找到密码的关键属性。
根据您的描述,这里可能就是这种情况(极端条件,因为您没有提供足够的代码来判断)。 如果您可以通过将 password 一词更改为任何其他词来重构您的代码,而无需更改底层逻辑,也不会破坏传入或传出的身份验证,那么这里很可能就是这种情况。
解决方案2
0 2019-07-10 05:03:27
veracode 没有任何缺陷。 它的扫描正确。 如果它会找到任何关键字,如“pass”或“paswd”或“password”,它会将其提升为“缺陷”,因此您必须强制删除/替换这些关键字来解决它。 删除/替换关键字再次扫描您的应用程序并检查。
除非您不将密码存储为纯文本,否则没有真正的安全问题。
如何在Android Studio中伪装或加密Gmail发件人的硬编码密码
[英]How to disguise or encrypt hard-coded password for gmail sender in android studio
登录表单用户凭据,而不是LDAP Spring Security中的硬编码UserDn和密码
[英]Login form user credentials instead of hard-coded UserDn and Password in LDAP Spring Security
是否可以将JWT身份验证添加到硬编码的前端用户名和密码身份验证中?
[英]Is it possible to add JWT authentication to hard-coded front-end username and password authentication?
Spring 示例,其中值未在 XML 配置文件中进行硬编码
[英]Spring example where values are not hard-coded in XML config files
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.