那些遇到过的问题

堆检查安全漏洞

Gau*_*eva 9 java security static-code-analysis checkmarx

我已经针对checkmarx工具运行我的java应用程序以获取安全漏洞,并且它经常给出一个问题 - 堆检查,对于我使用字符数组的密码字段.除了指出密码字段的声明之外,它没有给出任何解释.

private char[] passwordLength;
Run Code Online (Sandbox Code Playgroud)

任何人都可以帮助我,我还能找到解决这个问题的方法吗?

小智 7

堆检查是关于未加密存储在机器内存中的敏感信息,因此如果攻击者执行内存转储(例如,Heartbleed错误),则该信息会受到损害.因此,简单地保存该信息使其易受攻击.

可以通过以安全的方式存储这样的敏感信息来缓解这种情况,例如GuardedString对象而不是String或char数组,或加密它并擦除之后的原始短片.

有关更多信息,请参阅此CWE(描述C/C++,但与Java相同).

归档时间:

查看次数:

13178 次

最近记录:

6 年,6 月 前
相关归档
如何返回多个值? 95
JVM上的浮点运算是否会在所有平台上产生相同的结果? 57
如何生成Maven项目的所有模块之间的依赖关系图? 49
如何在Ubuntu下安装JDK 11? 48
面板内的JavaFX Panel自动调整大小 45
如何使用javascript设置cookie安全标志 32
REALM术语在安全性方面的确切用途是什么? 18
消除R中的字符串 6
来自Java的kerberos - 为当前经过身份验证的用户获取主题 5
是否可以在OpenRasta中使用HTTPS? 1
难疑归档
如何使用CSS为文本或图像提供透明背景? 2211
jQuery滚动到元素 2196
是否有标准函数来检查JavaScript中的null,undefined或blank变量? 2088
如何将列表拆分为大小均匀的块? 2068
如何分析在Linux上运行的C++代码? 1732
LINQ中的多个"order by" 1537
var关键字的目的是什么?我何时应该使用它(或省略它)? 1508
为什么我需要一直做`--set-upstream`? 1364
如何在JavaScript中合并两个数组并重复删除项目 1256
在jQuery中删除事件处理程序的最佳方法? 1038