Использование жесткого пароля [CWE - 259]

Question

Проверяя мою проблему с veracode, я обнаружил, что CWE 259 использует жестко запрограммированный пароль в одном из файлов моего класса. при проверке этого файла 1-я строка файла отвечает за эту уязвимость, то есть имя моего пакета. Может кто-нибудь сказать мне, почему это происходит, или это какой-то недостаток с логикой сканирования veracode.

Внутри этого файла класса они - место, где напечатано слово «пароль». в качестве меры предосторожности я попытался прокомментировать эти строки и отсканировать их снова. но проблема была брошена в той же строке.

пакет com.name.ta.etc.cse;

Answer 1

Страница для CWE 259 в MITER точно указывает, что означает уязвимость, и предоставляет пример ее, а также предлагает идеи для исправления или смягчения уязвимости в вашем приложении.

Инструменты проверки кода, такие как Veracode или SonarQube, также могут отмечать ложные срабатывания (они обнаруживают уязвимость, но ее там нет).У меня был случай, когда Sonar помечал эту проблему, когда у меня была статическая конечная переменная (то есть: константа) со словом PASSWORD в названии, и Sonar думал, что это был настоящий пароль, хотя в действительности это былключ для поиска пароля из свойств.

Из вашего описания, это может быть , может быть здесь (крайне условно, так как вы не предоставляете достаточно кода)судить).Если вы можете реорганизовать свой код, изменив слово «пароль» на любое другое, не меняя основную логику и не нарушая входящую или исходящую аутентификацию, то, скорее всего, это так.

Answer 2

В veracode нет недостатка.Его сканирование правильно.если он найдет какое-либо ключевое слово, например, «pass», «paswd» или «password», он поднимет его как «Flaw», поэтому для его устранения необходимо обязательно удалить / заменить это ключевое слово.Удалите / замените ключевое слово, отсканируйте ваше приложение еще раз и проверьте.

Нет реальной проблемы безопасности, пока вы не сохраните пароль в виде простого текста.