Fortify Audit Workbench 笔记 Privacy Violation: Heap Inspection 隐私泄露(堆检查)

最新推荐文章于 2024-05-20 21:56:33 发布
最新推荐文章于 2024-05-20 21:56:33 发布
阅读量164 收藏
点赞数
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EYUANQQCOM/article/details/133004854
版权

Privacy Violation: Heap Inspection 隐私泄露(堆检查)

Abstract

将敏感数据存储在 String 对象中使系统无法从内存中可靠地清除数据。

Explanation

如果在使用敏感数据(例如密码、社会保障号码、信用卡号等)后不清除内存,则存储在内存中的这些数据可能会泄漏。 通常而言, String 是所用的存储敏感数据,然而,由于 String 对象不可改变,因此用户只能使用 JVM 垃圾收集器来从内存中清除 String 的值。 除非 JVM 内存不足,否则系统不要求运行垃圾收集器, 因此垃圾收集器何时运行并无保证。 如果发生应用程序崩溃,则应用程序的内存转储操作可能会导致敏感数据泄漏。
例 1: 下列代码可将密码从字符数组转换为 String。

private JPasswordField pf;
...
final char[] password = pf.getPassword();
...
String passwordAsString = new String(password);

此种类来源于 Cigital Java Rulepack。 http://www.cigital.com/securitypack/

Recommendation

请始终确保不再需要使用敏感数据时将其清除。 可使用能够通过程序清除的字节数组或字符数组来存储敏感数据,而不是将其存储在类似 String 的不可改变的对象中。 例 2: 下列代码可在使用密码后清除内存。

private JPasswordField pf;
...
final char[] password = pf.getPassword();
// use the password
...
// erase when finished
Arrays.fill(password, ' ');
LIMS研发马洪彪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fortify_Audit_Workbench.pdf
12-22
Fortify_Audit_Workbench.pdf
Fortify用户手册简体中文版
10-31
Fortify用户手册简体中文版 简要介绍了 Audit Workbench 的特性与功能,并且介绍了 Audit Workbench 的主要组成部分。 其中包含以下主题: • Source Code Analysis 阶段概述 • 安全编码规则包概述
Fortify中文乱码 Audit Workbench
ilqgffvramusm2864的博客
07-27 3391
乱码现象原因 由于Audit Workbench使用的eclipse默认编码为GBK,导致在其中查看以UTF-8编码的文件出现乱码问题。 单文件乱码解决方法 可通过Edit下Set Encoding设置。需要光标在右侧代码框内。用于设置单个文件的编码方式 修改Audit Workbench默认编码 找到productlaunch.cmd文件(C:\Program Files\Fortify\Fortify_SCA_and_Apps_18.20\Core\private-bin\awb\productla
Java中9种常见的CMS GC问题分析与解决
美团技术团队
11-12 7710
总第422篇2020年 第46篇目前,互联网上 Java 的 GC 资料要么是主要讲解理论,要么就是针对单一场景的 GC 问题进行了剖析,对整个体系总结的资料少之又少。前车之鉴,后事之师...
英语练习APP
热门推荐
u011256974的博客
04-11 2万+
项目:实现英语练习APP 1.从文件ciku.dict加载单词数据 2.从加载的单词数据中每次随机抽取一个单词作为练习题,如: activity 请选择: A:调整 B:拳击或摔跤比赛 C:活动 D:跛的,拐的,伤残的 其中释义有一个为该单词的真确释义,其余三项为随机非正确的释义 3.每轮练习为50道题 最终统计显示结果 4.其它功能可自行扩展设计 实验目标: 1.强化代码转换能力 2...
2020年4大安全会议及论文
sinat_34996559的博客
01-05 4574
1会议介绍 1.1 NDSS会议 网络和分布式系统安全研讨会(NDSS)促进了网络和分布式系统安全的研究人员和从业人员之间的信息交换。目标受众包括对网络和分布式系统安全性的实际方面感兴趣的人员,并着重于实际的系统设计和实现。一个主要目标是鼓励和使Internet社区能够应用,部署和提高可用安全技术的状态。 1.2 S&P会议 IEEE Symposium on Security and Privacy(简称 S&P)创办于1980年,是信息安全领域四大顶级学术会议之一,也是信息安全领
Fortify代码扫描:Privacy Violation:Heap Inspection漏洞解决方案
初阶农民工的博客
01-06 2万+
该漏洞引发情况: 将敏感数据存储在 String 对象中使系统无法从内存中可靠地清除数据。 如果在使用敏感数据(例如密码、社会保障号码、信用卡号等)后不清除内存,则存储在内存中的这些数据可能会泄漏。通常而言,String是所用的存储敏感数据,然而,由于String对象不可改变,因此用户只能使用 JVM 垃圾收集器来从内存中清除String的值。除非 JVM 内存不足,否则系统不要求运...
Fortify代码扫描 Java提供解决方案支撑
weixin_45336602的博客
07-09 1982
Fortify代码扫描 Access Control: Database Mass Assignment: Insecure Binder Configuration Often Misused: File Upload Header Manipulation Server-Side Request Forgery
fortify漏洞修复笔记
怎么肥事
11-18 1365
fortify漏洞修复
工作中遇到的Fortify和Checkmarkx问题
qq_42199464的博客
01-04 3165
Fortify和checkmarx工作中的问题
fortify-integration-sonarqube:Fortify SonarQube插件
05-27
用于SonarQube的Fortify插件 弃用通知 该插件与SonarQube 8.0及更高版本不兼容。 有关详细信息,请参见 。 鉴于需要频繁进行SonarQube API更改并保持客户更新至SonarCloud(不支持第三方插件)来使插件保持最新状态...
fortify-ui:Laravel Fortify驱动的对Laravel UI包的替换
02-02
FortifyUI自动执行Laravel Fortify的基本安装和配置,它包括Laravel Fortify建议实现自己的功能,并为您提供了围绕它构建自己的UI的支架。 因此,Fortify + UI。安装首先,您需要使用Composer安装FortifyUI 。 这也...
Fortify:旨在使Fortify报告对客户更具可读性
05-01
由于客户看不到Fortify FPR报告,因此导出的PDF报告可能太复杂而使客户迷路。 开发fpr2xlsx.py的目的是帮助客户更好地了解Fortify报告。 脚本需要安装Python xlsxwriter库。 只需一个参数(--input或-i)来选择fpr...
WEB转Flutter基础学习笔记(内含vue和flutter对比)
小易不止于搬砖的博客
05-17 668
笔者是一名web前端,记录在转栈flutter时的学习笔记,内涵和vue的对比,能够辅助前端同学更容易理解flutter
推荐系统学习笔记(一)
weixin_44880995的博客
05-15 145
同类策略(精排中的两种模型)天然互斥,并且(两条召回通道)效果会相互影响,避免干扰。反转:有的指标立刻影响,有的需要长期观测-------尽快推全也可以长期观测。10%作为holdout桶,实验使用剩余的90%,做diff(需要归一化)不同策略(添加召回通道,优化粗排模型)通常不会干扰,可以作为正交的两层。保留10%,完全不受实验影响,可以考察整个部门对业务指标的贡献。同层互斥----避免一个用户被两个实验影响。不同层正交----每层独立随机分配用户。推全:新层,与其他层正交,90%用户。
并发编程笔记3--synchronize底层实现原理
qq_41056506的博客
05-17 737
Java中每一个对象都可以作为锁,具体的表现为以下3中方式当一个线程试图访问同步代码块时,他必须先获得锁。退出或抛出异常必须释放锁。那么锁到底存在哪里呢?锁中存储的是什么信息呢?从JVM规范中可以看到Synchronize在JVM中的实现原理,JVM是基于进入或退出Monitor对象来实现方法同步和代码块同步,但两者的实现细节不一样。1、代码块同步是使用monitorenter和monitorexit指令实现,2、而方法同步是使用另一种方式实现的,细节在JVM规范中并未详细说明。
Vue3实战笔记(23)—路由Vue-Router 实战指南(关于路由命名那点事儿)
山花的博客
05-15 1040
除了 path 之外,你还可以为任何路由提供 name。在 Vue Router 中,命名路由是一种通过指定名称来标识路由的方式,而不是使用路径。这为路由的跳转提供了一种更直观和易于维护的方式。命名路由特别有用,尤其是在链接到路由时,不必硬编码 URL,也不必在路由对象中查找路径字符串。},在这个例子中,我们给路径为 /user/:username的路由命名为 user。User在这两种情况下,路由将导航到路径 /user/erina。
Vision Mamba代码笔记
最新发布
Zssss12的博客
05-20 415
事实上Vision Mamba重写了这个Mamba类,可以看到里边是由bimamba_type这个参数的(这其实也是Vision Mamba的主要贡献),执行如下代码。值得说明的一点是,如果你之前在跑其他的mamba,环境拿过来是不能直接直接用的,因为标准的Mamba类是没有bimamba_type这个参数的,所以,需要去Vim代码官网去找到mamba-1p1p1包,下载之后放自己项目里。按照官方readme.md配置,如果有问题照着下面这个链接改。我手敲的带中文注释的链接。
线性回归学习笔记
julyclj55555的博客
05-15 265
换句话说,多元线性回归可以有足够的精确性,但对于该精确性的合理解释会比较难,因为在多个属性中,可能有其中多组子属性的组合都能拟合到近似最优的模型效果,但对不同组的子属性的组合解释,会因为属性不同而有很大区别,这就是统计学家莱奥·布雷曼口中的“罗生门”(Rashomon)。它的值越大代表,拟合的结果越可信;将“罗生门”深挖一步,就是机器学习和统计学在认识论上的差异:统计学讲究的是“知其然,知其所以然”,它不仅要找出数据之间的关联性,还要挖出背后的因果性,给计算出的结果赋予令人信服的解释才是统计的核心。
fortify 代码扫描 出现Access Control: Database 解决不了
03-21
Fortify代码扫描是一种静态代码分析工具,用于检测软件代码中的安全漏洞和潜在的软件缺陷。"Access Control: Database"是Fortify扫描结果中的一种问题,它通常表示代码中存在对数据库访问的权限控制问题。 解决"Access Control: Database"问题的方法取决于具体的代码和应用场景。一般来说,以下几个方面可能需要考虑: 1. 访问控制规则:确保在访问数据库之前进行适当的权限检查和验证,以确保只有经过授权的用户可以执行相关操作。 2. 输入验证和过滤:对于从用户输入获取的数据,应该进行适当的验证和过滤,以防止恶意用户通过构造恶意输入来绕过访问控制。 3. 数据库权限设置:确保数据库的访问权限设置正确,并且只有需要访问数据库的用户或角色具有相应的权限。 4. 安全编码实践:采用安全编码实践,如避免使用硬编码的凭证、使用参数化查询等,以减少安全漏洞的风险。 请注意,以上只是一些常见的解决方法,具体解决方案需要根据具体情况进行评估和实施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值