您好我正在使用HP fortify查找我的应用程序的所有漏洞,现在我正在尝试解决一个看似基本的但我无法做到的。
问题在于配置中的密码。我有一个Web应用程序,在其中的属性文件中就是这样的。
somePassword=passwordPlainText
我同意这是错误的,然后我尝试使用http://www.jasypt.org/encrypting-configuration.html,OBS,CRYPT和ENC类型的几种方法进行混淆。但是当我扫描我的代码时,我总是从强化中得到相同的警告。难道我做错了什么?
由于
答案 0 :(得分:2)
您可能会发现以下答案有用。我假设这可能是一个数据库密码,但相同的概念适用于访问其他类型的帐户。
基本原则是你要避免凭据的意外泄漏,因此将它们放在代码之外的地方(所有开发人员都会看到它)和在主代码根目录之外的配置文件中小心访问受控制。理想情况下,您可以通过根据用户权限正确配置数据库访问来完全避免密码。
注意:Fortify基本上grepping找到密码问题"密码" (和一些变种)。所以其他时候这是误报,如果你只有一个名为"密码"的变量。或提及密码的评论,"但不是硬编码密码到文件中。