Fortify列表输出以下行,在类别Password Management : Hard coded Password下容易受到攻击。虽然我没有硬编码密码。为什么它显示为漏洞,我该如何解决?
txtPassword.style.visibility = "visible";
提前致谢!
答案 0 :(得分:5)
我无法看到内部结构,但看起来作为“结构分析器”的一部分,Fortify工具会搜索可能表明存储了密码的文本。它无法判断是否存在硬编码的密码,但是,根据与HP Fortify顾问的对话,Fortify倾向于标记问题(如果有疑问),允许审核信息的人员确定是否是是否存在漏洞。
以下文本示例触发一行代码标记我的代码库。
有几种方法可以解决问题,而组织的正确问题可能取决于工作: