DeepCode的主要发现#2:Java / Python硬编码密码

最新推荐文章于 2023-12-05 09:30:03 发布
最新推荐文章于 2023-12-05 09:30:03 发布
阅读量458 收藏
点赞数
文章标签: python

嘿,

语言:Java / Python 缺陷:密码/登录(类别安全性2) 诊断:硬编码字面量在已知受密码保护的函数中用作参数

See an example in Java here.
UPDATE (1/7/2020): CI小号CO hard-coded credentials here CVE-2019–15977 and here CVE-2019–15975.

背景: DeepCode从开放源代码存储库学习。 例如,我们知道应用程序中典型的密码或机密来源是什么。 通常,从受保护的配置存储中读取的功能。 我们跟踪这些数据通过开源应用程序所经过的流程,并能够识别这些机密的典型接收者或用户(例如,数据库或API登录名)。 在确定了这些接收器之后,我们现在可以强制执行以下操作:未保护的源(例如源代码中的硬编码常量)不会产生秘密数据。

Obviously, having your passwords hard-coded in your application is a bad practice. The Common Weakness Enumeration lists it twice: Both CWE 259 Use of Hard-Coded Passwords and CWE 798 Use of Hard-Coded Credentials. OWASP also lists it.

除了将密码信息泄露给您的开发团队或有权访问您的源代码的任何其他人的风险之外,这也使得更改操作端的密码非常困难。 我猜想不将秘密密钥粘贴到不属于它们的文件中是不费吹灰之力的。

但这还有另一个有趣的方面。 我们发现此错误有很多误报。 原因是在测试中或默认情况下两个交互的系统相互信任时,使用带有硬编码密码的功能可能是合法的。 是的,我们现在可以讨论这种做法是否合法。 但是,让我们暂时接受它。 显然,误报是我们要尽可能防止的事情。 那么,我们该怎么办?

We decided on the strict side of things. We accept some false positives but rather report possible issues. If you want to prevent false positives, we offer two ways: (1) With the .dcignore file (see here ) or (2) by adding a comment in your file (see here ). Better safe than sorry. So, give it a run at deepcode.ai

0xff

from: https://dev.to//deepcode/deepcode-s-top-findings-2-java-python-hard-coded-password-1a4

cunxiedian8614
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
deepcode:尝试使用深度学习生成擦除码数据
05-15
深码 尝试使用深度学习生成擦除码数据。 目标是将数据的N个节点/磁盘的代码擦除为N + M个节点/磁盘,但是可以容忍M + delta故障(而不是典型的M个容错),这是通过深入检查并“学习”实际的位和字节序列,以生成定制的特定编码方案。 在克隆目录中运行“ make test”将构建/执行并成功地在少量样本随机数据上训练神经网络。 第1层-N个节点的输入数据第2层-N + M节点的编码数据第3层-(输出层)被分割为(M + N)个(N-delta)段,每个段的大小为N,每个段都是完全大小的连接到第2层的相应子集,以便对具有M + delta节点故障的所有可能情况进行建模 去做: 仍在寻找使隐藏层的激活函数(代码中的ACT())生成编码表示形式的分类编号的方法。 实现一个解码器来实际演示恢复的“工作”(成功的训练从理论上证明了这一点) 尽快添加文档和一些图表,以帮助可视化此网络体
'Password' detected in this expression, review this potentially hardcoded credential.
热门推荐
yueguanyun的专栏
03-12 1万+
今天sonar代码检查出现下面问题:'Password' detected in this expression, review this potentially hardcoded credential.原因分析代码里面有下面语句,打印到日志,这样可能被别人破解System.out.println("decryptPassword=====" + decryptPassword);解决办法换一个...
CWE学习(一)
qq_44370676的博客
04-28 4357
CWECWE-20: Improper Input Validation示例代码1示例代码2CWE-22: Improper Limitation of a Pathname to a Restricted Directory示例代码1CWE-78: Improper Neutralization of Special Elements used in an OS Command示例代码1CWE-119: Improper Restriction of Operations within the Bound
python安全指南
Kevin & Python & Story
01-12 2732
通用类 I. 代码实现 1.1 加密算法 1.1.1 【必须】避免使用不安全的对称加密算法 1.2 程序日志 1.2.1 【建议】对每个重要行为都记录日志 1.2.2 【建议】禁止将未经验证的用户输入直接记录日志 1.2.3 【建议】避免在日志中保存敏感信息 1.3 系统口令 1.3.1 【必须】禁止使用空口令、弱口令、已泄露口令 1.3.2 【必须】口令强度要求 1.3.3 【必须】口令存储安全 1.3.4 【必须】禁止传递明文口令 1.3.5 【必须】禁止在不安全的信道中传输口令 .
Java编码/加密/解密/安全
土味儿
11-24 997
1、编码与解码 资料: http://www.crifan.com/files/doc/docbook/char_encoding/release/html/char_encoding.html#enc_iso8859 B站黑马程序员视频讲解: https://www.bilibili.com/video/BV1HJ411E7d3?from=search&seid=10765105363156263933 1.1、介绍 编码按适用范围可以简单分为: 美国编码(ASCII) ASCII为
leetcode2sumc-LeetCode:C/Java/Python解决方案
07-06
2 和 c 力码 练习编码技巧。 提高逻辑思维。 欢迎大家一起讨论。 力码: 算法 阵列 # 标题 解决方案 困难 笔记 1 简单的 [TO DO] C 哈希表解决方案 26 简单的 空间内 [TO DO] Java8 流 27 简单的 在太空 35 简单的 ...
java2python--java代码转python工具
07-19
JavaPython的转换工具,如"java2python",是一个重要的软件开发辅助工具,它能够帮助程序员将已有的Java代码转换成Python代码,以便在Python环境中执行或进行进一步的开发工作。这种转换过程涉及到多种语言特性和...
Python2.X/Python3.X中urllib库区别讲解
01-20
首先,让我们来看看Python 2.X和Python 3.X中urllib库的主要差异: 1. **urllib**: - Python 2.X:提供基本的URL打开功能。 - Python 3.X:被拆分为urllib.request、urllib.error和urllib.parse三个子模块。 2....
字符串加密pta:分别基于JavaPython的实现代码.zip
最新发布
06-29
字符串加密pta:分别基于JavaPython的实现代码.zip 字符串加密pta:分别基于JavaPython的实现代码.zip 字符串加密pta:分别基于JavaPython的实现代码.zip 字符串加密pta:分别基于JavaPython的实现代码.zip ...
最危险的编程错误
软件质量优化
03-09 3396
最近CWE发布了2010年度最危险的编程错误Top 25的排名:《2010 CWE/SANS Top 25 Most Dangerous Programming Errors》http://cwe.mitre.org/top25/#CWE-362 其中XSS以346的得分高票领先,其次是SQL注入和缓冲区溢出。 RankScoreID
Python-一种企业友好的方式来检测和防止密码硬编码到代码中
08-10
一种企业友好的方式来检测和防止密码硬编码到代码中
开发者必备的5类AI工具,不容错
白帽阿叁的博客
12-05 1671
在当今快节奏和激烈竞争的时代,提高工作效率和产品质量变得尤为重要。作为软件开发者,也必须紧跟现代化工具的步伐,以保持领先优势。在这篇文章中,晓晓总结了2023年开发者必备的5类AI工具,这些工具将帮助您提升工作效率、优化代码质量,从而在激烈的市场竞争中脱颖而出。
【解决】秘钥硬编码安全问题
键盘的起始页
06-30 1936
下面给一个方案,对数据进行变形。算法如下:对每一个字节做一次循环右移对每一个字节用一个表的数据做位异或操作转为16进制数目前没有安全的方法保存秘钥,除非使用硬件来解决(后台的加密机使用的就是硬件,秘钥放在芯片里),所以本地保存数据需要遵循:需要长久更安全的保存,使用keychain的方式保存不要保存敏感信息,如果要保存需要先做脱敏任何时候都不要保存密码
现成的ai代码源代码_DeepCode利用AI进行代码审查
cxt70571的博客
07-08 1850
现成的ai代码源代码 通过利用人工智能来帮助清理代码,DeepCode的目标是对编程助手Grammarly进行书面通信进行编程。 类似于开发人员的拼写检查器,DeepCode的云服务可检查代码并提供有关严重漏洞的警报,目的是阻止安全漏洞将其投入生产。 目标是启用更安全,更干净的代码并更快地交付它。 [发现InfoWorld的2019年Bossie奖获得者: 适用于软件开发,云计算,数据分...
DeepCode将基于AI的代码审查引入C和C ++
cxu0262的博客
05-19 715
DeepCode是一种云服务,它使用机器学习来分析代码库中的安全缺陷和潜在错误 , 现在可以分析C和C ++代码 。 通过分析数千个开源项目的培训,DeepCode为代码托管平台或本地存储库中的项目提供反馈。 DeepCode的创建者声称,与传统的代码分析工具相比,它提供了更好,更详细的反馈,因为它可以在上下文中分析代码,而不仅仅是文本,还可以作为运行软件。 [ 同样在InfoWor...
1 密码学的发展历程
weixin_44172023的博客
04-04 5512
想知道更多区块链技术知识,请百度【链客区块链技术问答社区】 链客,有问必答! 1密码学的历史悠久,古时候主要应用于军事机密的传送,如“口令”,“暗号”等。在1970年之前,密码学的应用范畴大部分还是在政府层面,直到标准加密系统-数据加密标准和非对称加密算法的发明,密码学才逐步被深入应用在各个领域。 1 密码学的发展历程 密码学的发展大致可以分为三个阶段:古典密码学->现代密码学->...
代码审计——硬编码口令/弱口令详解
Boom!脑洞大爆炸的博客
06-17 443
代码审计之硬编码/弱口令的审计思路
sql server 字段密码解密_【缺陷周话】第 25期:硬编码密码
weixin_39635373的博客
12-01 617
聚焦源代码安全,网罗国内外最新资讯!*声明:《缺陷周话》栏目系列文章由360代码卫士团队原创出品。未经许可,禁止转载。代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,因此一直以来都是学术界和产业界研究的热点,并且已经成为安全开发生命周期SDL和DevSecOps等保障体系的重要技术手段。360代码卫士团队...
杀手级ai补代码工具_DeepCode和AI工具准备彻底改变静态代码分析
服务器编程交流平台
07-08 1140
开发人员使用静态分析工具在开发生命周期中更快地识别代码中的问题。 但是,这些工具的总体体系结构仅随着专家制定的新规则而发生了增量变化。 不过,研究人员现在开始使用AI来自动生成更多复杂的规则集来解析代码。 这有助于在生命周期的早期发现更多问题,并提供更好的反馈。 一些公司,例如游戏制造商Ubisoft,已经在内部开发这类工具。 苏黎世联邦理工学院的一组研究人员现在正在为主流采用提供类似的AI...
「代码随想录」二叉树专题精讲(v1.2).pdf
12-14
在文件中,我们还可以看到一些关于编程语言的知识点,例如 C++、JavaPython、Go 和 JavaScript 等。这些语言都可以用于实现二叉树的操作和应用。 此外,文件还提供了一些关于 GitHub 的知识点,例如 how to use ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值