Fortify 列出了以下行作为易受攻击的类别 - Password Management : Hard coded Password。虽然我没有硬编码密码。为什么它显示为一个漏洞,我该如何修复它?
txtPassword.style.visibility = "visible";
提前致谢!
问问题
4899 次
1 回答
6
我看不到内部结构,但似乎作为“结构分析器”的一部分,Fortify 工具会搜索可能表明已存储密码的文本。它无法判断是否存在硬编码密码,但根据与 HP Fortify 顾问的对话,如果有任何疑问,Fortify 倾向于标记问题,允许修复审计信息的人员确定它是否存在是否存在漏洞。
下面的文本示例触发一行代码被标记为我的代码库。
- 密码
- 密码
- 密码
- 密码
有几种方法可以解决该问题,而适合您组织的正确方法可能取决于工作量:
- 将标记的问题标记为“不是问题”,表示这是一个变量/控件名称,并且密码没有硬编码在代码中。
- 将变量/控件名称重命名为不会被标记的名称 - txtPwd 在这种情况下可能是一个选项。
于 2015-12-16T19:19:42.430 回答