經得起原始碼資安弱點掃描的程式設計習慣培養(十五)_HARDCODED_CREDENTIALS(Use of hard-coded password)
在程式碼中直接使用hard code密碼。
存在以下風險:
安全風險:硬編碼的密碼容易被攻擊者發現和濫用。如果攻擊者能夠獲取程式碼,他們就可以輕易地找到密碼,並使用它來進行未授權的存取。
維護風險:當密碼需要更改時,必須修改程式碼並重新編譯應用程式。這樣的做法不僅不安全,還會增加維護成本和風險。
修正方法建議:
1.使用安全的密碼儲存方式:避免在程式碼中直接使用硬編碼的密碼。相反,您可以使用安全的密碼儲存方式,例如使用加密的配置文件、密碼管理工具或密碼保險箱。
2.使用配置文件或環境變數:將密碼存儲在配置文件或環境變數中,而不是直接在程式碼中硬編碼。這樣可以使密碼與程式碼分離,並且可以輕鬆地更改密碼而不需要修改程式碼。
3.使用身份驗證和授權機制:使用適當的身份驗證和授權機制,例如使用 OAuth、JWT 或其他安全標準來保護應用程式的存取權限。
4.密碼管理最佳實踐:遵循密碼管理的最佳實踐,例如使用強密碼、定期更換密碼、限制密碼存取權限等。
在此建議用第2種方式配置到web.config或app.config 來重構程式
留言
張貼留言