php小编鱼仔今天给大家带来一则关于“堆检查”漏洞的java问答。在软件开发过程中,堆检查是一种常见的安全漏洞,容易被黑客利用进行恶意攻击。通过本文的问答形式,我们将带您深入了解堆检查漏洞的定义、原理和防范方法,帮助您更好地保护软件系统的安全性。
问题内容
我需要向通话传递密码。如果我这样做
byte[] datasourcepasswddecoded = base64.getdecoder().decode(datasourcepasswdencoded);string datasourcepasswd = new string(datasourcepasswddecoded);hikaridatasource.setpassword(datasourcepasswd);
登录后复制
当 fortify 扫描该代码时,报告称由于将密码分配给字符串,该代码存在“堆检查”漏洞。
fortify 不会抱怨原始代码:
hikaridatasource.setpassword(env.getproperty("spring.datasource.password"));
登录后复制
即使 env.getproperty() 确实返回一个字符串。
fortify 推荐的是:
private JPasswordField pf;...final char[] password = pf.getPassword();// use the password...// erase when finishedArrays.fill(password, ' ');
登录后复制
但是当函数需要字符串时,如何使用 char[] 作为密码?
解决方法
是的…对密码进行 Base64 编码根本没有保护作用。任何有半点脑子的黑客都知道如何识别和解码base64。所以你的“奇怪的base64东西”没有帮助。
但另一方面,您的漏洞扫描程序指出了一个相对难以利用的问题,而且可能无论如何都无法解决。
在应用程序中的某个时刻(其依赖项或某处),密码将被转换为 Java String …因为某些 API 需要 String。此时,无论扫描器是否告诉您,您都存在“堆检查”漏洞。例如,如果数据源使用 JDBC,则需要将该密码作为参数传递给 DriverManager.connect 调用。 connect 有 3 个重载…但它们都需要将密码作为明文字符串传递。解决这个问题是不切实际的。
(显然,Fortify 建议的所谓修复显然不起作用。并且它没有注意到您对 setPassword(env.getProperty(“spring.datasource.password”)) 的调用是只是您当前正在做的事情“不好”。这是“表演安全”…)
最实用的解决方案是告诉扫描仪这是一个“误报”。然后采取措施防止黑客附加调试器、检查 RAM、核心转储、交换磁盘等,并在堆中搜寻可能代表密码的 String 对象。
还有一个“令人讨厌的”解决方案,需要通过 String 对象的类型抽象来粉碎并覆盖其支持数组。但这种方法很脆弱。
String 的表示形式在 Java 的生命周期中已更改多次,每次更改都可能会破坏您的 String 覆盖代码。在某些情况下,String 的后备数组会与其他 String 对象共享,破坏后备数组会损坏这些对象。存在查找密码 String可能已被复制或插入到其他 String 对象的所有情况的问题。
除非您正在处理机密信息,否则(IMO)这太过分了。如果您正在处理机密信息,请在采取这些措施之前保护您的平台。 (并且不要依赖愚蠢的安全扫描软件来进行安全审核!)
以上就是“堆检查”漏洞的详细内容,更多请关注【创想鸟】其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至253000106@qq.com举报,一经查实,本站将立刻删除。
发布者:PHP中文网,转转请注明出处:https://www.chuangxiangniao.com/p/2621675.html
