作者lur (垃圾東西)
看板java
標題[問題] 請問程式碼的問題this.password=password
時間Sun Dec 3 00:09:54 2017
如提,因為客戶的白箱測試掃出這些hardcode password的critical
雖然我覺得這應該只是一個參數
但是我真的不知道怎麼解釋才比較好懂
如果有人願意幫忙的話,我再把程式碼寄到站內信
拜託大家了Q_Q
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.240.183.154
※ 文章網址: https://webptt.com/m.aspx?n=bbs/java/M.1512230997.A.560.html
1F:推 MartinJu: 參數名字改掉吧,學一下反編譯就知道java的這個名稱資安 12/03 01:17
2F:→ MartinJu: 問題很危險 12/03 01:17
3F:推 wencheng1230: 參數名稱問題,就算存無關緊要的數值也一定會被掃出 12/03 01:51
4F:→ wencheng1230: 風險 12/03 01:51
5F:→ jej: 換成中文 密碼 12/03 07:49
6F:→ catman1977: 中文還是有可能被掃出來最好是用韓文 12/03 22:13
7F:→ KeyFSN: 不是很懂 命名為 password 危險在哪? 12/04 10:05
8F:→ VFCanisLupus: fortify嗎? 可改 passWD 12/04 10:34
9F:→ jej: 我還真的看過變數叫 不要問很可怕 12/04 13:10
10F:推 kusozack: 改pwd啊 12/05 16:54
11F:→ swpoker: 那套掃描工具阿? 12/06 08:05
12F:→ swpoker: fortify很好騙啦 12/06 08:05
13F:推 now99: 程式碼掃描變數名稱改一下 只能這樣,class掃描就可以用混 12/06 18:55
14F:→ now99: 淆避掉xd 12/06 18:55