Мне нужно исправить уязвимость Heap Inspection, которая возникает после запуска сканирования безопасности. Сканированный документ указывает на свойство POJO "private String password;". Также упоминается «Приложение не содержит кода, устанавливающего заголовки Content Security Policy». Может ли кто-нибудь помочь мне в том, как удалить эту уязвимость проверки кучи
Heap Inspection A6 — раскрытие конфиденциальных данных
Ответы (1)
Приложение уязвимо для проверки кучи, когда конфиденциальная информация (пароль в вашем случае) хранится в памяти в виде открытого текста (незашифрованного).
Если злоумышленник выполнит дамп памяти (помните ошибку Heartbleed?), эта конфиденциальная информация будет скомпрометирована.
Есть два правильных способа хранения такой конфиденциальной информации:
- Использование защищенного объекта, такого как GuardedString вместо String или массива символов, или
- Шифрование информации и немедленная очистка памяти, содержащей открытый текст
Checkmarx, вероятно, обнаружил эту уязвимость в вашем коде, поэтому рекомендуется использовать один из этих методов для безопасного хранения вашей конфиденциальной информации.
person
yaloner
schedule
30.05.2016