如何解决密码管理 - 配置中的密码

【问题标题】:How to solve Password Management - Password in configuration如何解决密码管理 - 配置中的密码
【发布时间】:2016-07-19 16:43:27
【问题描述】:

您好,我正在使用 HP fortify 来查找我的应用程序的所有漏洞,现在我正在尝试解决一个看似基本但我无法做到的漏洞。

问题在于配置中的密码。我有一个 Web 应用程序,它的内部在一个类似这样的属性文件中。

somePassword=passwordPlainText

我同意这是错误的,然后我尝试使用 http://www.jasypt.org/encrypting-configuration.html、OBS、CRYPT 和 ENC 类型的几种方法进行混淆。但是当我扫描我的代码时,我总是从 fortify 收到同样的警告。难道我做错了什么?

谢谢

【问题讨论】:

    标签: password-encryption fortify


    【解决方案1】:

    您可能会发现以下答案很有帮助。我假设这可能是数据库密码,但同样的概念也适用于访问其他类型的帐户。

    https://security.stackexchange.com/questions/22817/how-to-encrypt-database-connection-credentials-on-a-web-server

    基本原则是您要避免凭据意外泄漏,因此将它们放在代码之外的位置(所有开发人员都会看到)和主代码根目录之外的配置文件中,并且是仔细访问控制。理想情况下,您可以通过根据用户权限正确配置数据库访问来完全避免密码。

    注意:Fortify 基本上通过grepping 查找“密码”(和一些变体)的密码问题。所以其他时候这是误报,如果你只有一个名为“密码”的变量或一个提到“密码”的评论,但没有将密码硬编码到文件中。

    【讨论】:

      猜你喜欢
      • 2022-01-21
      • 2015-09-29
      • 2018-12-08
      • 2017-07-26
      • 2012-05-19
      • 2011-03-07
      • 1970-01-01
      • 1970-01-01
      • 2021-01-04
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode