Fortify列表输出以下行容易受到类别下的攻击 - Password Management : Hard coded Password.虽然我没有硬编码密码.为什么它显示为漏洞,我该如何解决?
txtPassword.style.visibility = "visible";
提前致谢!
我没有内部的可见性,但似乎作为"结构分析器"的一部分,Fortify工具搜索可能表明存储了密码的文本.它无法判断是否存在硬编码的密码,但是,根据与HP Fortify顾问的对话,Fortify倾向于标记问题(如果有疑问),允许审核信息的人员确定是否是是否存在漏洞.
下面的文本示例触发一行代码标记我的代码库.
密码
密码
passwd文件
passwd文件
有几种方法可以解决问题,而组织的正确问题可能取决于工作:
将标记的问题标记为"非问题",表明这是一个变量/控件名称,并且密码未在代码中进行硬编码.
将变量/控件名称重命名为不会被标记的内容 - 在这种情况下,txtPwd可能是一个选项.
京公网安备 11010802040832号 | 京ICP备19059560号-6 