Heap Inspection A6 — раскрытие конфиденциальных данных

Мне нужно исправить уязвимость Heap Inspection, которая возникает после запуска сканирования безопасности. Сканированный документ указывает на свойство POJO "private String password;". Также упоминается «Приложение не содержит кода, устанавливающего заголовки Content Security Policy». Может ли кто-нибудь помочь мне в том, как удалить эту уязвимость проверки кучи


owasp checkmarx heap inspection
person deepak kasgar    schedule 25.05.2016    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Приложение уязвимо для проверки кучи, когда конфиденциальная информация (пароль в вашем случае) хранится в памяти в виде открытого текста (незашифрованного).

Если злоумышленник выполнит дамп памяти (помните ошибку Heartbleed?), эта конфиденциальная информация будет скомпрометирована.

Есть два правильных способа хранения такой конфиденциальной информации:

  • Использование защищенного объекта, такого как GuardedString вместо String или массива символов, или
  • Шифрование информации и немедленная очистка памяти, содержащей открытый текст

Checkmarx, вероятно, обнаружил эту уязвимость в вашем коде, поэтому рекомендуется использовать один из этих методов для безопасного хранения вашей конфиденциальной информации.

person yaloner    schedule 30.05.2016