我需要修复运行安全扫描后出现的堆检测漏洞。扫描生成的文档指向POJO属性"私有字符串密码;"。 此外,还提到了#34;该应用程序不包含任何设置内容安全策略标头的代码。" 任何人都可以帮我解决如何删除此堆检查漏洞
答案 0 :(得分:2)
当敏感信息(在您的情况下为密码)以明文(未加密)的形式存储在内存中时,应用程序很容易受到堆检测。
如果攻击者会执行内存转储(请记住Heartbleed错误?),这些敏感信息将会受到影响。
有两种正确的方法来保存这些敏感信息:
Checkmarx可能在您的代码中发现了漏洞,因此建议您使用其中一种方法安全地保存您的敏感信息。