Я использовал программное обеспечение FORTIFY сканировать свой веб-проект и столкнулся с большими трудностямиHP Fortify вопрос сканирования: Управление паролей: Пароль в форме HTML
Проблема: Управление паролей: Пароль в форме HTML
<input name="pin" type="password" data-rule-required="true" value="${pin}">
типе = «пароль» позволяет мне показывать ** на странице HTML для пользователя
Как я могу изменить эту проблему?
удалить значение передаст программное обеспечение fortify
Укрепление может иметь много шума в результатах, и требуется немного, чтобы выяснить, что реально, а что нет. Это становится все лучше, но пароли являются ОЧЕНЬ OFTEN ложными срабатываниями. Просто отметьте, что один подавлен или «Не проблема».
Fortify использует множество различных методов анализа на бэкэнд. Некоторые из них более сложные, такие как анализ данных и вызовов. Другие - очень упрощенные синтаксические анализы, которые ищут небезопасные функции.
Один из правил анализа синтаксиса ищет слово «пароль» в любом месте исходных файлов, предполагая, что он может представлять собой пароль с жестким кодом. Однако часто это просто переменная, которая называется «пароль»/«pwd» или часть HTML (как в этом случае). Они довольно быстро просматривают и просто отмечают их как «не проблема» и подавляют, чтобы они не появлялись в будущих сканированиях.
спасибо !! очень хорошо. –