Мне нужно исправить уязвимость обнаружения кучи, которая появляется после сканирования безопасности. Сканирование сгенерированного документа указывает на свойство POJO «private String password;». Также упоминается «Приложение не содержит кода, который устанавливает заголовки политики безопасности контента». Может ли кто-нибудь помочь мне в том, как удалить эту уязвимость, связанную с кучей?Проверка кучи A6-чувствительная экспозиция данных
3
A
ответ
2
Приложение уязвимо для проверки кучи, когда конфиденциальная информация (пароль в вашем случае) хранится как явная текстовая (незашифрованная) в памяти.
Если злоумышленник выполнит сброс памяти (помните ошибку Heartbleed?), Эта конфиденциальная информация будет скомпрометирована.
Есть два пути проведения такой чувствительной информации:
- Использование защищенного объекта, например, GuardedString вместо строки или массив символов, или
- Шифрование информации и немедленно драить память, содержащая текст clear-text
Checkmarx, вероятно, обнаружил эту уязвимость в вашем коде, поэтому рекомендуется использовать один из этих методов для надежного хранения конфиденциальной информации.
Смежные вопросы
- 1. glibc Проверка целостности кучи
- 2. Проверка размера кучи андроида
- 3. Проверка объекта внутри кучи
- 4. Экспозиция экспозиции
- 5. Метод кучи структуры данных кучи
- 6. Проверка производительности кучи инструкций в PHP
- 7. Экспозиция API в полимере
- 8. SOA Вопрос: Экспозиция объектов
- 9. Экспозиция моих данных приложения и обработанных данных как веб-службы
- 10. Структура данных кучи
- 11. Проверка стека и кучи и равенства
- 12. Проверка доступной памяти кучи динамически из Perl
- 13. экспозиция на стрелках в haskell
- 14. Экспозиция «услуг» для импорта MEF
- 15. Ключевое значение наблюдения экспозиция Длительность
- 16. Яркость/экспозиция с vb .net
- 17. OpenCV Соответствие Экспозиция на изображениях
- 18. Экспозиция только в стандарте C++?
- 19. Экспозиция нескольких аналогичных полей базы данных в виде перечислимой коллекции
- 20. реализация структуры данных кучи swift
- 21. Инициализация структуры данных кучи java
- 22. Как анализировать кучи кучи
- 23. Переполнение кучи - Структура кучи
- 24. Время сортировки кучи кучи
- 25. datastructure или реализация кучи кучи приятелей
- 26. Программно выполнять удаленный кучи кучи
- 27. Ошибка кучи кучи в findContours
- 28. Android StrictMode и кучи кучи
- 29. Экспозиция проекта OpenCV + Java для jar-файла
- 30. Экспозиция нескольких статических файлов wsdl - Spring WS