我需要修复运行安全扫描后出现的堆检查漏洞。 扫描生成的文档指向 POJO 属性"私有字符串密码;"。还提到"应用程序不包含任何设置内容安全策略标头的代码"。任何人都可以帮助我如何删除此堆检查漏洞
当敏感信息(在本例中为密码)以明文形式存储在内存中时,应用程序容易受到堆检查的攻击。
如果攻击者将执行内存转储(还记得Heartbleed错误吗?),则此敏感信息将受到损害。
有两种正确的方法来保存此类敏感信息:
- 使用受保护的对象,例如 GuardedString 而不是 String 或 char 数组,或者
- 加密信息并立即清理包含明文的内存
Checkmarx可能在您的代码中发现了该漏洞,因此建议使用这些方法之一来安全地保存您的敏感信息。