php小编鱼仔今天给大家带来一则关于“堆检查”漏洞的java问答。在软件开发过程中,堆检查是一种常见的安全漏洞,容易被黑客利用进行恶意攻击。通过本文的问答形式,我们将带您深入了解堆检查漏洞的定义、原理和防范方法,帮助您更好地保护软件系统的安全性。
问题内容
我需要向通话传递密码。如果我这样做
byte[] datasourcepasswddecoded = base64.getdecoder().decode(datasourcepasswdencoded); string datasourcepasswd = new string(datasourcepasswddecoded); hikaridatasource.setpassword(datasourcepasswd);
当 fortify 扫描该代码时,报告称由于将密码分配给字符串,该代码存在“堆检查”漏洞。
fortify 不会抱怨原始代码:
hikaridatasource.setpassword(env.getproperty("spring.datasource.password"));
即使 env.getproperty() 确实返回一个字符串。
fortify 推荐的是:
private JPasswordField pf; ... final char[] password = pf.getPassword(); // use the password ... // erase when finished Arrays.fill(password, ' ');
但是当函数需要字符串时,如何使用 char[] 作为密码?
解决方法
是的...对密码进行 Base64 编码根本没有保护作用。任何有半点脑子的黑客都知道如何识别和解码base64。所以你的“奇怪的base64东西”没有帮助。
在原版的基础上做了一下修正评论没有提交正文的问题特价商品的调用连接问题去掉了一个后门补了SQL注入补了一个过滤漏洞浮动价不能删除的问题不能够搜索问题收藏时放入购物车时出错点放入购物车弹出2个窗口修正主题添加问题商家注册页导航连接问题销售排行不能显示更多问题热点商品不能显示更多问题增加了服务器探测 增加了空间使用查看 增加了在线文件编辑增加了后台管理里两处全选功能更新说明:后台的部分功能已经改过前台
但另一方面,您的漏洞扫描程序指出了一个相对难以利用的问题,而且可能无论如何都无法解决。
在应用程序中的某个时刻(其依赖项或某处),密码将被转换为 Java String ...因为某些 API 需要 String。此时,无论扫描器是否告诉您,您都存在“堆检查”漏洞。例如,如果数据源使用 JDBC,则需要将该密码作为参数传递给 DriverManager.connect 调用。 connect 有 3 个重载...但它们都需要将密码作为明文字符串传递。解决这个问题是不切实际的。
(显然,Fortify 建议的所谓修复显然不起作用。并且它没有注意到您对 setPassword(env.getProperty("spring.datasource.password")) 的调用是只是您当前正在做的事情“不好”。这是“表演安全”...)
最实用的解决方案是告诉扫描仪这是一个“误报”。然后采取措施防止黑客附加调试器、检查 RAM、核心转储、交换磁盘等,并在堆中搜寻可能代表密码的 String 对象。
还有一个“令人讨厌的”解决方案,需要通过 String 对象的类型抽象来粉碎并覆盖其支持数组。但这种方法很脆弱。
-
String的表示形式在 Java 的生命周期中已更改多次,每次更改都可能会破坏您的String覆盖代码。 - 在某些情况下,
String的后备数组会与其他String对象共享,破坏后备数组会损坏这些对象。 - 存在查找密码
String可能已被复制或插入到其他String对象的所有情况的问题。
除非您正在处理机密信息,否则(IMO)这太过分了。如果您正在处理机密信息,请在采取这些措施之前保护您的平台。 (并且不要依赖愚蠢的安全扫描软件来进行安全审核!)
