3

我需要修复运行安全扫描后出现的堆检查漏洞。扫描生成的文档指向 POJO 属性“private String password;”。还提到“该应用程序不包含任何设置内容安全策略标头的代码。” 任何人都可以帮助我如何删除此堆检查漏洞

4

1 回答 1

2

当敏感信息(在您的情况下为密码)以明文(未加密)存储在内存中时,应用程序容易受到堆检查的攻击。

如果攻击者执行内存转储(还记得 Heartbleed 漏洞吗?),这些敏感信息就会被泄露。

保存此类敏感信息有两种适当的方法:

  • 使用安全对象,例如 GuardedString 而不是 String 或 char 数组,或
  • 加密信息并立即清理包含明文的内存

Checkmarx 可能在您的代码中发现了该漏洞,因此建议使用其中一种方法来安全地保存您的敏感信息。

于 2016-05-30T17:54:41.123 回答