如何解決密碼管理 - 密碼在配置

Question

您好我正在使用HP fortify來查找我的應用程序的所有漏洞，現在我試圖解決一個似乎基本但我無法做到這一點。

問題是關於配置中的密碼。我有一個Web應用程序，並在它的屬性文件裏面像這樣。

somePassword=passwordPlainText 

我同意這是不對的，然後我嘗試用http://www.jasypt.org/encrypting-configuration.html，OBS，隱窩和ENC類型的幾種方法來混淆。但是當我掃描我的代碼時，我總是會從fortify中得到同樣的警告。我做錯了什麼？

謝謝

Answer 1

你可能會發現以下答案有幫助。我假設這可能是一個數據庫密碼，但相同的概念適用於訪問其他類型的帳戶。

https://security.stackexchange.com/questions/22817/how-to-encrypt-database-connection-credentials-on-a-web-server

基本原則是要避免的憑據意外泄漏，所以把它們放在一個地方的代碼（其中所有的開發人員會看到它）之外，在配置文件，它是外主代碼的根目錄並被仔細地訪問控制。理想情況下，您可以通過根據用戶權限正確配置數據庫訪問來完全避免密碼。

注意：Fortify通過對「密碼」（以及一些變體）進行基本搜索來發現密碼問題。所以如果你只有一個名爲「password」的變量或者一個提到「password」的註釋，但是沒有將密碼編碼到文件中，那麼其他時候這是誤報。