Как решить управление паролями - Пароль в конфигурации

Question

Привет Я использую HP, чтобы найти все уязвимости моего приложения, и теперь я пытаюсь решить тот, который кажется основным, но я не могу это сделать.

Проблема заключается в настройке пароля. У меня есть веб-приложение и внутри него в файле свойств что-то вроде этого.

somePassword=passwordPlainText 

Я согласен, это не так, то я пытаюсь запутать с несколькими методами с использованием http://www.jasypt.org/encrypting-configuration.html, OBS, Crypt и ENC типов. Но я всегда получаю такое же предупреждение от укрепления, когда я просматриваю свой код. Я делаю что-то неправильно?

Thanks

Answer 1

Вы можете найти следующий ответ полезным. Я предполагаю, что это может быть пароль базы данных, но те же самые понятия применяются к доступу к другим типам учетных записей.

https://security.stackexchange.com/questions/22817/how-to-encrypt-database-connection-credentials-on-a-web-server

Основной принцип заключается в том, что вы хотите, чтобы избежать случайной утечки учетных данных, и поэтому поместить их в место за пределами кода (где все разработчики будут видеть его) и в файле конфигурации, который находится за пределами основной корневой код и тщательно контролируемый доступ. В идеале вы можете вообще избегать паролей, правильно настроив доступ к базе данных в соответствии с разрешениями пользователя.

Примечание: Fortify находит проблему с паролем в основном grepping для «пароля» (и некоторых вариантов). Поэтому в других случаях это ложно позитивно, если у вас просто есть переменная с именем «пароль» или комментарий, который упоминает «пароль», но не является жестким кодированием пароля в файл.