2015-05-20 346 views
4

我遇到我對安全漏洞的checkmarx工具的Java應用程序,它不斷給人一種問題 - 堆檢驗,爲我用的字符數組我的密碼字段。除了指出密碼字段的聲明之外,它沒有提供任何解釋。堆檢測安全漏洞

private char[] passwordLength; 

任何人都可以幫我解決這個問題嗎?

回答

6

堆檢查是關於存儲在機器存儲器未加密敏感信息,因此,如果攻擊者執行存儲器轉儲(例如,心臟出血漏洞錯誤),則該信息被泄露。因此,僅僅保留這些信息就會使其變得脆弱。

人們可以通過以安全的方式存儲這樣的敏感信息,諸如GuardedString對象,而不是一個字符串或字符數組,或加密它和原始短後擦洗減輕此。

有關詳細信息,請參閱this CWE(描述C/C++相同的,但相關的Java)。