Làm thế nào để giải quyết quản lý mật khẩu - Mật khẩu trong cấu hình

Question

Xin chào Tôi đang sử dụng HP củng cố để tìm tất cả các lỗ hổng của ứng dụng của tôi, và bây giờ tôi đang cố gắng để giải quyết một trong đó có vẻ cơ bản nhưng tôi không thể làm điều đó.

Sự cố về mật khẩu trong cấu hình. Tôi có một ứng dụng web và bên trong nó trong một tập tin thuộc tính như thế này.

somePassword=passwordPlainText 

Tôi đồng ý điều này là sai, sau đó tôi cố gắng để xáo trộn với một số phương pháp sử dụng http://www.jasypt.org/encrypting-configuration.html, OBS, hầm mộ và ENC loại. Nhưng tôi luôn nhận được cảnh báo tương tự từ việc củng cố khi tôi quét mã của mình. Tôi đang làm điều gì sai?

Cảm ơn

Answer 1

Bạn có thể tìm thấy câu trả lời sau hữu ích. Tôi giả sử đây có thể là mật khẩu cơ sở dữ liệu, nhưng cùng một khái niệm áp dụng để truy cập các loại tài khoản khác.

https://security.stackexchange.com/questions/22817/how-to-encrypt-database-connection-credentials-on-a-web-server

nguyên tắc cơ bản là bạn muốn tránh tai nạn rò rỉ của các thông tin, và do đó đặt chúng ở một nơi bên ngoài của mã (nơi mà tất cả các nhà phát triển sẽ nhìn thấy nó) và trong một tập tin cấu hình mà nằm ngoài mã gốc chính và được kiểm soát cẩn thận. Lý tưởng nhất, bạn có thể tránh mật khẩu hoàn toàn bằng cách cấu hình đúng quyền truy cập cơ sở dữ liệu theo quyền của người dùng.

Lưu ý: Fortify tìm thấy vấn đề mật khẩu bằng cách grepping về cơ bản cho "mật khẩu" (và một số biến thể). Vì vậy, lần khác, điều này là dương tính giả, nếu bạn chỉ có một biến có tên là "mật khẩu" hoặc nhận xét đề cập đến "mật khẩu", nhưng không khó mã hóa mật khẩu vào tệp.