如何解决密码管理 - 配置密码

时间:2016-03-31 09:48:05

标签: password-encryption fortify

您好我正在使用HP fortify查找我的应用程序的所有漏洞,现在我正在尝试解决一个看似基本的但我无法做到的。

问题在于配置中的密码。我有一个Web应用程序,在其中的属性文件中就是这样的。

somePassword=passwordPlainText

我同意这是错误的,然后我尝试使用http://www.jasypt.org/encrypting-configuration.html,OBS,CRYPT和ENC类型的几种方法进行混淆。但是当我扫描我的代码时,我总是从强化中得到相同的警告。难道我做错了什么?

由于

1 个答案:

答案 0 :(得分:2)

您可能会发现以下答案有用。我假设这可能是一个数据库密码,但相同的概念适用于访问其他类型的帐户。

https://security.stackexchange.com/questions/22817/how-to-encrypt-database-connection-credentials-on-a-web-server

基本原则是你要避免凭据的意外泄漏,因此将它们放在代码之外的地方(所有开发人员都会看到它)和在主代码根目录之外的配置文件中小心访问受控制。理想情况下,您可以通过根据用户权限正确配置数据库访问来完全避免密码。

注意:Fortify基本上grepping找到密码问题"密码" (和一些变种)。所以其他时候这是误报,如果你只有一个名为"密码"的变量。或提及密码的评论,"但不是硬编码密码到文件中。