セキュリティの脆弱性のためにcheckmarxツールに対してJavaアプリを実行しましたが、文字配列を使用するパスワードフィールドにヒープインスペクションという問題が常に発生しています。パスワードフィールドの宣言を指摘するだけで、それ以上の説明はありません。
private char[] passwordLength;
誰かがここで私を助けてくれますか?これを解決するためにさらに何を探すことができますか?
30006 次
4 に答える
7
ヒープ インスペクションは、暗号化されていないマシン メモリに格納されている機密情報に関するものであるため、攻撃者がメモリ ダンプ (Heartbleed バグなど) を実行すると、その情報が危険にさらされます。したがって、その情報を保持するだけで脆弱になります。
String や char 配列の代わりに GuardedString オブジェクトを使用するなど、機密情報を安全な方法で保存するか、暗号化して元の short after をスクラブすることで、これを軽減できます。
詳細については、この CWEを参照してください(C/C++ について説明していますが、Java との関連性は同じです)。
于 2015-05-26T05:18:22.977 に答える