Проверка кучи A6-чувствительные данные воздействия

Question

Проверка кучи A6-чувствительные данные воздействия

Мне нужно исправить уязвимость Heap Inspection, которая появляется после запуска сканирования безопасности. Сканирование сгенерированного документа указывает на свойство POJO "пароль частной строки;". Также упоминается "Приложение не содержит кода, который устанавливает заголовки политики безопасности контента". Может кто-нибудь помочь мне, как удалить эту уязвимость кучи инспекции

3

heap owasp checkmarx inspection

Источник

user6381307 25 май '16 в 13:26

1 ответ

Другие вопросы по тегам heap owasp checkmarx inspection

user4132029 30 май '16 в 17:54 2016-05-30 17:54 · Answer 1 · 2016-05-30 17:54

Приложение уязвимо для проверки кучи, когда конфиденциальная информация (пароль в вашем случае) хранится в виде открытого текста (незашифрованного) в памяти.

Если злоумышленник выполнит дамп памяти (помните ошибку Heartbleed?), Эта конфиденциальная информация будет скомпрометирована.

Есть два правильных способа хранения такой конфиденциальной информации:

Использование защищенного объекта, такого как GuardedString вместо String или массива char, или
Шифрование информации и немедленная очистка памяти, содержащей открытый текст

Checkmarx, вероятно, обнаружил эту уязвимость в вашем коде, поэтому рекомендуется использовать один из этих методов для безопасного хранения вашей конфиденциальной информации.