如何解析CWE-259:使用硬编码密码?
private String url = "jdbc:mysql://localhost:8081/sql";
private String userName = "xyz";
private String password = "abc";
DriverManager.getConnection(url, user, password); // At this line i am getting this flaw.
有人请帮助我如何解决CWE-259:使用硬编码密码缺陷。
共有1个答案
出现硬编码密码缺陷的原因是,在代码段的第三行,您将密码硬编码到变量中。这是因为您在源代码中存储了敏感信息(用户名和密码),这是一个缺陷,因为您的can源代码可以反编译。
修复此缺陷的一种方法是将凭据存储在强加密文件中,或者对凭据应用强单向哈希值,并将这些哈希值存储在配置文件中。
您可以在这里获得更多信息:http://cwe.mitre.org/data/definitions/259.html
-
目前,我们正在使用Checkmarx扫描应用程序代码。不确定Checkmarx是否检测/扫描源代码中的任何硬编码密码。是否需要在Checkmarx服务器上添加任何额外的配置来检测密码?
-
问题内容: 好吧,这实际上是两部分的… 首先我需要 读取文件内容 加密成一个 byte[] 将写入byte[]文件或其他任何内容… 然后,来自#2或#3的结果将进入另一个项目。我正在尝试保护我们的PEM / DER密钥。 对于解密,我需要 读取加密文件的内容为 byte[] 解密成一个 byte[] 将解密的数据写入文件或使用它代替文件 现在,我有一些基本的加密代码 并解密一个 问题是: 给定一个
-
问题内容: 我正在使用ExtJS框架。我在 JavaScript中 有MD5函数来加密某些JSON。我的后端使用Java,所以我想知道如何使用 Java 解密MD5 Javascript加密? 这是我正在使用的MD5函数的JS等效项: 问题答案: MD5是 哈希 (即单向转换),因此您无法对其进行解密。您可以将已知哈希与从明文计算出的哈希进行比较,以验证输入的有效性。Java已经为此内置了库。我在
-
最近,我一直在尝试教育自己如何使用Vigenere密码进行加密和解密。 我已成功加密该邮件,以下是我为实现加密所采取的步骤: 加密密钥:设置 消息:绝密 步骤1:键的数字表示为18、4、19(使用下表) E:P x k->C是加密函数 D:C x K->P为解密函数 明文:绝密 多谢了。
-
我有一个程序可以连接到一个网站,并对其内容进行更改。程序首先登录,才有权更改内容。现在我想把程序传给其他人,这样他们就可以运行程序来帮助我完成任务。 该程序只能在我的帐户下登录,我不想传递密码。我决定这样硬编码密码: 如何确保无法恢复密码?如果不可能,该怎么做才能使恢复手术变得困难?还有什么更好的方法来解决我的问题?
-
问题内容: 创建公司使用的平台的开发人员不再为我们工作,而且我不知道如何从自定义PHP应用程序中检索密码。 当我查看PHPmyAdmin时,密码已加密(例如* 2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19) 如何更改或检索这些? 问题答案: 如果使用正确的加密方法,将无法轻松检索它们。 只需使用新密码重置即可。 编辑: 字符串看起来像它正在使用: