Fortify Audit Workbench 笔记 Password Management: Password in Configuration File(明文存储密码)...

最新推荐文章于 2024-09-11 12:42:08 发布
最新推荐文章于 2024-09-11 12:42:08 发布
阅读量208 收藏
点赞数
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EYUANQQCOM/article/details/133004849
版权

Password Management: Password in Configuration File(明文存储密码)

Abstract

在配置文件中存储明文密码,可能会危及系统安全。

Explanation

在配置文件中存储明文密码会使所有能够访问该文件的人都能访问那些用密码保护的资源。 程序员有时候认为, 他们不可能阻止应用程序被那些能够访问配置文件的攻击者入侵,但是这种想法会导致攻击者发动攻击变得更加容易。 健全的 password management 方针从来不会允许以明文形式存储密码。

Recommendation

绝不能采用明文的形式存储密码。 相反,应在系统启动时,由管理员输入密码。 如果这种方法不切实际,一个安全性较差、但通常都比较恰当的解决办法是将密码模糊化,并把这些去模糊化的资源分散到系统各处,因此,要破译密码,攻击者就必须取得并正确合并多个系统资源。 有些第三方产品宣称可以采用更加安全的方式管理密码。 例如, WebSphere Application Server 4.x 用简单的异或加密算法加密数值,但是请不要对诸如此类的加密方式给予完全的信任。 WebSphere以及其他一些应用服务器通常都只提供过期的且相对较弱的加密机制,这对于安全性敏感的环境来说是远远不够的。 较为安全的解决方法来是由用户自己创建一个新机制,而这也是如今唯一可行的方法。

LIMS研发马洪彪
关注
Password Management:Password in Configuration File密码在配置文件中)解决方案
yangzhouren_hf的博客
06-01 1万+
注:框架是Struts2+Spring+ibatis 漏洞代码 jdbc.url=jdbc:db2://172.17.33.118:50000/qjxt jdbc.driverClassName=com.ibm.db2.jcc.DB2Driver jdbc.username=db2admin jdbc.password=db2admin 漏洞说明 在配置文件中存储明文
部分Fortify代码扫描高风险解决方案
热门推荐
修行的博客
12-13 1万+
部分Fortify代码扫描高风险解决方案 一、Category: Access Control: Database 问题描述: ​ Database access control 错误在以下情况下发生: ​ 1.数据从一个不可信赖的数据源进入程序。 ​ 2.这个数据用来指定 SQL 查询中主键的值。 官方案例: 示例 1: 以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句,以...
常见Fortify扫描漏洞修复方法
wl8685的专栏
07-29 6055
漏洞描述 处理方式 Privacy Violation: Autocomplete 修复 input 增加autocomplete="off" Privacy Violation 删除 Password Management: Password in Configuration File 修复 将关键字“password”修改为其他单词; Password Management: Insecure Submission 修复 form使
Password Management:Password in Configuration File 密码管理:配置文件中的密码
Dearzh的博客
11-15 568
Abstract: 在配置文件中存储明文密码,可能会危及系统安全。 Explanation: 在配置文件中存储明文密码会使所有能够访问该文件的人都能访问那些用密码保护的资源。程序员有时候认为,他们不可能阻止应用程序被那些能够访问配置文件的攻击者入侵,但是这种想法会导致攻击者发动攻击变得更加容易。健全的 password management 方针从来不会允许以明文形式存储密码。 在这种情况下,...
ASP.NET~~[ Web.config文件加密]~Fortify扫描 Password Management: Password in Configuration File
qq_35011890的博客
04-21 3847
ASP.NET Web.config文件加密 在进行Fortify扫描过程中,出现了高危漏洞(Password Management: Password in Configuration File),即需要对config文件中的明文密码进行加密. 最开始我才用DES加密,在每一次从config文件中获取配置信息之前进行解密,但是由于不知道这个系统在多少个地方获取了配置文件,以及具体位置所以只能中...
springboot项目使用jasypt配置文件明文加密
qq_42552574的博客
12-22 1158
jasypt配置文件明文加密 最近有个springboot项目上线前进行安全检测,使用fortify扫描出配置文件的明文存储安全漏洞(Password Management: Password in Configuration File) 于是在各个博客中看到使用jasypt进行加密,自己实现后发现还是挺方便简单的,自己做个总结并当作笔记记录下来。 实现配置存储明文加密只需要以下几步: 一、项目中引入依赖(Maven) <dependency>   <groupId>com.g
Fortity 安全评测结果及解决方案一文全解
2301_76354366的博客
01-31 4789
Fortity 安全评测结果及解决方案
Fortify_Audit_Workbench.pdf
12-22
"Fortify Audit Workbench 软件用户指南" Fortify Audit Workbench 是一款功能强大的软件工具,旨在帮助开发者和安全专家检测和修复软件中的安全漏洞。本文档将对 Fortify Audit Workbench 的主要功能和使用方法...
fortify规则库: 2019.4.0.0009 fortify规则库: 2020.1.0.0009
10-27
Fortify安全编码规则包,包中含有2019年和2020年的,版本号可以自己看。 包括Fortify静态代码分析器(SCA),Fortify WebInspect和Fortify Application Defender)的安全情报。如今,MicroFocus Fortify软件安全性...
fortify规则库: 2020.1.0.0009
03-17
Fortify是一款强大的静态代码分析工具,它用于检测应用程序源代码中的安全漏洞和质量问题。规则库是Fortify的核心组件,包含了各种预定义的检测规则,帮助开发者在编码阶段就能发现潜在的安全问题。2020.1.0.0009...
fortify.license
10-25
fortify16的.license,许可证,可以安装fortify16使用。
优化过的jenkins源码审计插件:fortify.hpi
07-19
fortify官方提供的jenkins插件中,不能支持2M以上的审计结果上传。此插件经过优化,60M的文件上传正常,更大的尚未验证。 插件更新方法:在jenkins的【系统管理-插件管理-高级】页面中,选择上传插件,就可以了。
配置文件的属性加密
wjw_de_java的博客
10-09 1177
对于一些安全性要求比较高的企业,是不允许在配置文件中配置明文密码的。因为如果在配置文件中采用明文存储密码,将会降低系统安全性。这个时候,jasypt框架就派上用场了。 首先什么是jasypt? 详细网址 : http://www.jasypt.org/ 简单来说,就是一个安全框架,用于对一些如数据库密码等重要信息进行加密的框架 配置文件的属性加密解决步骤: (1):引入pom包 <dependency> <groupId>com.github.ulisesbocchio&l
源码漏洞扫描
菜小菜吃菜的博客
07-05 3183
源码漏洞扫描笔记
Springboot项目配置文件明文存储敏感信息的安全解决方案
最爱嫣夜来
03-27 2722
1、Bug说明 使用SpringBoot框架做过开发的媛友都知道,application.yml资源文件中的内容通常情况下是明文显示,安全性就比较低一些。只要获取到Springboot项目打包后的jar包,解压之后就可以打开application.properties或application.yml,一些服务端的私密信息就可以轻松获取到,比如 MySql登陆密码,Redis登陆密码以及第三方的密钥都可以轻松获取到。 测试小姐姐就是通过上面这种方式获取到了mysql和redis的链接信息, 然后我就被提了bu
fortify——password Management
chdyiboke的博客
04-16 3377
对于密码问题,有些password 不能用明文,存在安全隐患。 1.数据库链接:修改密码后,需要修改xml和Java代码 2.常量里面包含关键字password  ,修改、重构一下就OK 3.前端js、jsp 里面,对于密码不显示,可以在input里面加一个属性:autocomplete="off"                                             
Cisco 3750交换机密码初始化
qingfeng45697的专栏
11-12 3604
Cisco 3750交换机密码初始化 分类: 系统运维 1.  连接交换机的console口到终端或PC仿真终端。用无Modem的直连线连接PC的串行口到交换机的console口。 2.  拔掉交换机的电源. 3.  按住交换机上的Mode按钮,与此同时,重新插上交换机的电源线.当交换机上SYST的LED长期亮的时候,可以松开Mode按钮。 4.  再通过超级终端连接交换
如何加密Web项目中配置文件中的密码
08-05 1964
转自:http://blog.csdn.net/ziwen00/article/details/10729683
C++学习笔记----6、内存管理(五)---- 智能指针(3)
最新发布
weixin_71738303的博客
09-11 1198
与指向特定类型的原始指针可以转化为不同类型的指针一样,shared_ptr保存特定的类型可以转化为一个另一种类型的shared_ptr。转化shared_ptr的函数是const_pointer_cast(),dynamic_pointer_cast(),static_pointer_cast()和reinterpret_pointer_cast()。前面简要提过,当拥有共享属主的智能指针,例如shared_ptr不在活动范围或者被重置时,只有它是最后指向的智能指针时才能释放其指向的资源。
审计Workbench 5.1用户指南:入门与配置详解
Workbench用户指南》是一份详细的文档,针对Fortify Software公司的AuditWorkbench软件提供了全面的介绍和使用教程,适用于初次接触和进阶用户。该指南主要关注于版本5.1,发布日期为2007年12月,旨在帮助用户理解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值