Fortify リストは、次の行をカテゴリ - の攻撃に対して脆弱であると出力しますPassword Management : Hard coded Password。パスワードをハードコーディングしていませんが。それが脆弱性として示されているのはなぜですか? また、どうすれば修正できますか?
txtPassword.style.visibility = "visible";
前もって感謝します!
4899 次
1 に答える
6
内部の様子はわかりませんが、「構造アナライザー」の一部として、Fortify ツールはパスワードが保存されていることを示す可能性のあるテキストを検索しているようです。パスワードがハードコーディングされているかどうかはわかりませんが、HP Fortify コンサルタントとの会話に基づいて、Fortify は疑わしい場合は問題にフラグを立てる傾向があり、監査情報を修正する人がそれが正しいかどうかを判断できるようにします。脆弱性かどうか。
次のテキスト例は、コード行に私のコード ベースのフラグを立てるトリガーとなります。
- パスワード
- パスワード
- パスワード
- パスワード
問題を修復するにはいくつかの方法があり、組織にとって正しい方法は作業量によって異なる場合があります。
- フラグが立てられた問題を「問題ではない」とマークし、これが変数/コントロール名であり、パスワードがコードにハードコードされていないことを示します。
- 変数/コントロールの名前を、フラグが立てられない名前に変更します。この場合、txtPwd がオプションになる場合があります。
于 2015-12-16T19:19:42.430 に答える