經得起原始碼資安弱點掃描的程式設計習慣培養(十五)_HARDCODED_CREDENTIALS(Use of hard-coded password)



在程式碼中直接使用hard code密碼。

存在以下風險:

安全風險:硬編碼的密碼容易被攻擊者發現和濫用。如果攻擊者能夠獲取程式碼,他們就可以輕易地找到密碼,並使用它來進行未授權的存取。

維護風險:當密碼需要更改時,必須修改程式碼並重新編譯應用程式。這樣的做法不僅不安全,還會增加維護成本和風險。


修正方法建議:
1.使用安全的密碼儲存方式:避免在程式碼中直接使用硬編碼的密碼。相反,您可以使用安全的密碼儲存方式,例如使用加密的配置文件、密碼管理工具或密碼保險箱。


2.使用配置文件或環境變數:將密碼存儲在配置文件或環境變數中,而不是直接在程式碼中硬編碼。這樣可以使密碼與程式碼分離,並且可以輕鬆地更改密碼而不需要修改程式碼。

3.使用身份驗證和授權機制:使用適當的身份驗證和授權機制,例如使用 OAuth、JWT 或其他安全標準來保護應用程式的存取權限。

4.密碼管理最佳實踐:遵循密碼管理的最佳實踐,例如使用強密碼、定期更換密碼、限制密碼存取權限等。

在此建議用第2種方式配置到web.config或app.config 來重構程式












留言

這個網誌中的熱門文章

何謂淨重(Net Weight)、皮重(Tare Weight)與毛重(Gross Weight)

Architecture(架構) 和 Framework(框架) 有何不同?_軟體設計前的事前規劃的藍圖概念

經得起原始碼資安弱點掃描的程式設計習慣培養(五)_Missing HSTS Header