那些遇到过的问题

如何解决密码管理 - 配置密码

cra*_*aro 8 password-encryption fortify

嗨,我正在使用HP fortify查找我的应用程序的所有漏洞,现在我正在尝试解决一个看起来很基本的但我无法做到的.

问题是关于配置中的密码.我有一个Web应用程序,并在其中的属性文件中.

somePassword=passwordPlainText
Run Code Online (Sandbox Code Playgroud)

我同意这是错误的,然后我尝试使用http://www.jasypt.org/encrypting-configuration.html,OBS,CRYPT和ENC类型对几种方法进行混淆.但是当我扫描我的代码时,我总是从强化中得到相同的警告.难道我做错了什么?

谢谢

小智 5

您可能会发现以下答案很有帮助。我假设这可能是数据库密码,但相同的概念适用于访问其他类型的帐户。

https://security.stackexchange.com/questions/22817/how-to-encrypt-database-connection-credentials-on-a-web-server

基本原则是,您希望避免意外泄露凭据,因此将它们放在代码之外的位置(所有开发人员都会看到它)以及主代码根之外的配置文件中,并进行仔细的访问控制。理想情况下,您可以通过根据用户权限正确配置数据库访问来完全避免使用密码。

注意:Fortify 基本上通过grep查找“密码”(以及一些变体)来发现密码问题。因此,其他时候,如果您只有一个名为“密码”的变量或提及“密码”的注释,但没有将密码硬编码到文件中,则这是误报。

归档时间:

查看次数:

7479 次

最近记录:

7 年,4 月 前
相关归档
散列密码的最佳做法 8
如何在C#/ Bouncy Castle中创建PBKDF2-SHA256密码哈希 7
强化经常误用身份验证的修复程序 6
固定强化扫描区域设置更改重新出现 4
在aws dynamoDB中保存密码的最佳方法 4
是否可以对 BAT 文件中的密码进行加密/哈希处理? 3
使用 Spring Boot 时存储密码的最佳实践 3
Linux双向密码加密? 1
将null分配给字符串var以删除敏感数据 1
WildFly数据源密码保护 1
难疑归档
JavaScript .prototype如何工作? 1988
如何停止跟踪并忽略Git中文件的更改? 1634
如何在不注销并重新登录的情况下重新加载.bashrc? 1510
你什么时候使用git rebase而不是git merge? 1461
表命名困境:奇异与多个名称 1404
将JavaScript字符串转换为全部小写? 1260
sh和bash之间的区别 1194
Pythonic方式创建一个长多行字符串 1160
将文本粘贴到vim时关闭自动缩进 1119
测量Python中经过的时间? 1031