密码管理：html中的硬编码密码

【问题标题】：Password Management : Hard coded password in html密码管理：html中的硬编码密码
【发布时间】：2015-12-16 08:56:36
【问题描述】：

Fortify 将以下行输出为易受攻击类别 - Password Management : Hard coded Password。虽然我没有硬编码密码。为什么它显示为漏洞，我该如何修复它？

txtPassword.style.visibility = "visible";

提前致谢！

【问题讨论】：

你能告诉我们你的努力吗？
我的想法是，Fortify 显示这个地方只是因为变量名包含“密码”这个词。我尝试在 html 文件中将 'txtPassword' 重命名为 'txtPwd'，它似乎可以正常工作。 Fortify 不会在此位置显示错误。但是，我在这里寻找更好的解决方案，如果有的话。不知何故，仅仅重命名变量名并不足以说服我去使用它。

标签： html security passwords fortify hardcoded

【解决方案1】：

我无法查看内部结构，但似乎作为“结构分析器”的一部分，Fortify 工具会搜索可能表明已存储密码的文本。它无法判断是否存在硬编码密码，但根据与 HP Fortify 顾问的对话，如果有任何疑问，Fortify 倾向于标记问题，允许修复审计信息的人员确定它是否存在是否存在漏洞。

以下文本示例触发一行代码被标记为我的代码库。

密码
密码
密码
密码

有几种方法可以解决问题，而适合您组织的正确方法可能取决于工作量：

将标记的问题标记为“不是问题”，表示这是一个变量/控件名称，并且密码不是硬编码在代码中。
将变量/控件名称重命名为不会被标记的名称 - 在这种情况下，txtPwd 可能是一个选项。

【讨论】：

优秀的答案。在某些情况下，还会搜索“pwd”（但不是全部）
@DouglasHeld 谢谢。我以为我看到'pwd'被标记了，但在我的快速测试中并没有动摇。谢谢（你的）信息。很高兴知道。

猜你喜欢

为什么编译器会生成这段代码？ 1970-01-01
在进入交互之前如何在 InteractiveConsole 中执行一些任意 Python 代码 2025-11-21
Java Tcp Socket 管理数据包重传 2025-11-21
html textarea 在 ASP 中设置为 runat="server" 时忽略 javascript 2025-11-21
c编程错误中的ASCII到HEX转换[重复] 2025-11-21
如何在android的viewpager视图中添加或删除编辑Textview 2025-11-21
使用多版本控制时的编译时 AVX 检测 2025-11-21
IDocumentQuery 中 documentdb linq 查询中的 OrderBy 2025-11-21
NASA API 在 Excel 中的表格中 2025-11-21
FLASK 中不存在的参数的异常 2025-11-21

相关资源

回到网页顶部的JS代码下载 2022-12-26
HTML5 Canvas实现的彩色肥皂泡浮起动画效果源码下载 2023-02-19
HTML5 canvas实现的全屏酷炫星空背景动画特效源码下载 2022-12-21
PHP漏洞扫描软件源码 v1.0 beta下载 2022-12-28
PHP关键词淘宝客程序源码 v1.0下载 2023-02-19

最近更新更多

热门标签

Java Python linux javascript C# Mysql Docker 算法前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库机器学习大数据数据结构微服务 js 人工智能 Go Android 面试程序员 JVM 云原生后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构多线程 Spring Boot 云计算 LeetCode 分布式