Fortify list выводит следующую строку как уязвимую для атаки под категорией - Password Management : Hard coded Password. Хотя я и не закодировал пароль. Почему он показывает это как уязвимость и как ее исправить?Управление паролями: жестко закодированный пароль в html
txtPassword.style.visibility = "visible";
Заранее благодарен!
У меня нет видимости для внутренних органов, но кажется, что как часть «Структурного анализатора» инструмент Fortify ищет текст, который может указывать на то, что хранится пароль. Он не может определить, был ли пароль жестко закодирован, но, основываясь на разговоре с консультантом HP Fortify, Fortify склоняется к тому, чтобы помечать проблему, если вообще сомневается, позволяя лицу (лицам) исправлять информацию аудита, чтобы определить, уязвимость или нет.
В следующем текстовом примере запускается строка кода для маркировки моей базы кода.
Там есть несколько способов по преодолению проблемы и правильный для вашей организации может зависеть от усилий работы:
Отличный ответ. В некоторых контекстах также просматривается «pwd» (но не все) –
@DouglasHeld Спасибо. Я думал, что видел «pwd» с флагом, но он не дрогнул во время моего быстрого теста. Спасибо за информацию. Хорошо знать. – Scott
спасибо за объяснение !! –
Не могли бы вы показать нам свои усилия? – manetsus
Я думал, что Fortify показывает это место только потому, что имя переменной содержит слово «Пароль». Я попытался переименовать 'txtPassword' в 'txtPwd' в html-файле и, похоже, работает. Fortify не обнаруживает ошибку в этом месте. Но, я ищу лучшее разрешение здесь, если они есть. Как бы то ни было, просто переименование имени переменной не убеждает меня достаточно, чтобы пойти с ним. –