Fortify Audit Workbench 笔记 Password Management: Password in Configuration File(明文存储密码)
2024-09-01 11:00:53
Password Management: Password in Configuration File(明文存储密码)
Abstract
在配置文件中存储明文密码,可能会危及系统安全。
Explanation
在配置文件中存储明文密码会使所有能够访问该文件的人都能访问那些用密码保护的资源。 程序员有时候认为, 他们不可能阻止应用程序被那些能够访问配置文件的攻击者入侵,但是这种想法会导致攻击者发动攻击变得更加容易。 健全的 password management 方针从来不会允许以明文形式存储密码。
Recommendation
绝不能采用明文的形式存储密码。 相反,应在系统启动时,由管理员输入密码。 如果这种方法不切实际,一个安全性较差、但通常都比较恰当的解决办法是将密码模糊化,并把这些去模糊化的资源分散到系统各处,因此,要破译密码,攻击者就必须取得并正确合并多个系统资源。 有些第三方产品宣称可以采用更加安全的方式管理密码。 例如, WebSphere Application Server 4.x 用简单的异或加密算法加密数值,但是请不要对诸如此类的加密方式给予完全的信任。 WebSphere以及其他一些应用服务器通常都只提供过期的且相对较弱的加密机制,这对于安全性敏感的环境来说是远远不够的。 较为安全的解决方法来是由用户自己创建一个新机制,而这也是如今唯一可行的方法。
最新文章
- 跟服务器交互的登录Demo
- bzoj 4066: 简单题
- #asp.net core mvc 的视图注入
- Mac 下配置 SSH 免密码安全登录
- 手工、工具分别实现cookie注入
- Installing vSphere SDK for Perl
- 重写QSqlTableModel的flags函数实现tableview中某些列不可编辑,某些可以编辑
- Big Number(大数)
- Qemu之Network Device全虚拟方案二:虚拟网卡的创建
- Android Material Design-Creating Apps with Material Design(用 Material Design设计App)-(零)
- 转:JS线程和JS阻塞页面加载的问题
- 当今最流行的Node.js应用开发框架简介
- 201521123056 《Java程序设计》第7周学习总结
- Python自学笔记-with详解
- mysql 开发进阶篇系列 13 锁问题(关于表锁,死锁示例,锁等待设置)
- spring2.0:The server time zone value 'Ãùú±êüñ¼ä' is unrecognized or represents more than one time zone. You must configure either th
- es6写法
- SQL Server ——用 join on 连接多个表
- Visual Studio Code 配置 gcc
- 抓取错误之onerror