堆检查

7gyucuyw 于 2021-08-25 发布在 Java

关注(0)|答案(1)|浏览(301)

public DataSource dsDatasource(Environment env) throws Exception {
    HikariDataSource dataSource = new HikariDataSource();
    dataSource.setUsername(username);
    String password = env.getProperty(convertToHashicorpLabel());
    dataSource.setPassword(password != null ? password : dbPassword);
    if (dataSource.getPassword() == null) {
        throw new Exception("Datasource password is null");
    }
    dataSource.setJdbcUrl(url);
    dataSource.setDriverClassName(driverClassName);
    dataSource.setMaximumPoolSize(maxPoolSize);
    dataSource.setMinimumIdle(minPoolSize);
    dataSource.setPoolName(poolName);
    return dataSource;
}

private String convertToHashicorpLabel() {
    return username + "_label";
}

}
上面是java方法，当我运行checkmarx报告时，它在此行显示一个堆检查漏洞，字符串password=env.getproperty（converttohashicorplabel（））；。请帮我修一下好吗。

Java heap-memory checkmarx

来源：https://stackoverflow.com/questions/68271639/heap-inspection

1条答案

按热度按时间

sh7euo9m1#

这里的风险是字符串是不可变的，并且敏感信息（在本例中为密码）可能保留在内存中，攻击者可以通过访问主机来检索这些信息。
如@luk2302所指出的，使用更安全的类型，如sealedobject与char[]结合使用

char[] password;
Key key = KeyGenerator.getInstance("AES").generateKey();
Cipher c =  Cipher.getInstance("AES/CBC/PKCS7Padding");
c.init(Cipher.ENCRYPT_MODE, key);
List<Character> characterList = Arrays.asList(password);
SealedObject soPassword = new SealedObject((Serializable) characterList, c);
Arrays.fill(password, '\0');

赞(0）回复(0）举报 2021-08-25

我来回答

堆检查

1条答案

相关问题

热门标签

最新问答