Проверка кучи A6-чувствительная экспозиция данных

Question

Мне нужно исправить уязвимость обнаружения кучи, которая появляется после сканирования безопасности. Сканирование сгенерированного документа указывает на свойство POJO «private String password;». Также упоминается «Приложение не содержит кода, который устанавливает заголовки политики безопасности контента». Может ли кто-нибудь помочь мне в том, как удалить эту уязвимость, связанную с кучей?

Answer 1

Приложение уязвимо для проверки кучи, когда конфиденциальная информация (пароль в вашем случае) хранится как явная текстовая (незашифрованная) в памяти.

Если злоумышленник выполнит сброс памяти (помните ошибку Heartbleed?), Эта конфиденциальная информация будет скомпрометирована.

Есть два пути проведения такой чувствительной информации:

• Использование защищенного объекта, например, GuardedString вместо строки или массив символов, или
• Шифрование информации и немедленно драить память, содержащая текст clear-text

Checkmarx, вероятно, обнаружил эту уязвимость в вашем коде, поэтому рекомендуется использовать один из этих методов для надежного хранения конфиденциальной информации.