作者lur (垃圾东西)
看板java
标题[问题] 请问程式码的问题this.password=password
时间Sun Dec 3 00:09:54 2017
如提,因为客户的白箱测试扫出这些hardcode password的critical
虽然我觉得这应该只是一个参数
但是我真的不知道怎麽解释才比较好懂
如果有人愿意帮忙的话,我再把程式码寄到站内信
拜托大家了Q_Q
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.240.183.154
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/java/M.1512230997.A.560.html
1F:推 MartinJu: 参数名字改掉吧,学一下反编译就知道java的这个名称资安 12/03 01:17
2F:→ MartinJu: 问题很危险 12/03 01:17
3F:推 wencheng1230: 参数名称问题,就算存无关紧要的数值也一定会被扫出 12/03 01:51
4F:→ wencheng1230: 风险 12/03 01:51
5F:→ jej: 换成中文 密码 12/03 07:49
6F:→ catman1977: 中文还是有可能被扫出来最好是用韩文 12/03 22:13
7F:→ KeyFSN: 不是很懂 命名为 password 危险在哪? 12/04 10:05
8F:→ VFCanisLupus: fortify吗? 可改 passWD 12/04 10:34
9F:→ jej: 我还真的看过变数叫 不要问很可怕 12/04 13:10
10F:推 kusozack: 改pwd啊 12/05 16:54
11F:→ swpoker: 那套扫描工具阿? 12/06 08:05
12F:→ swpoker: fortify很好骗啦 12/06 08:05
13F:推 now99: 程式码扫描变数名称改一下 只能这样,class扫描就可以用混 12/06 18:55
14F:→ now99: 淆避掉xd 12/06 18:55