堆检查A6敏感数据暴露

Question

我需要修复堆检查漏洞，这是在运行安全扫描后。扫描生成的文档指向POJO属性“私有字符串密码；”。此外，还提到“应用程序不包含设置内容安全策略头的任何代码”。有人能帮我消除这个堆检查漏洞吗？

Answer 1

当敏感信息(在您的情况下是密码)以明文(未加密)存储在内存中时，应用程序容易受到堆检查的攻击。

如果攻击者将执行内存转储(还记得心脏出血错误吗？)，则此敏感信息将受到危害。

掌握这类敏感信息的适当方式有两种：

• 使用受保护的对象，例如GuardedString，而不是字符串或char数组，或者
• 加密信息并立即清除包含明文的内存。

Checkmarx可能在代码中发现了该漏洞，因此建议使用这些方法中的一种来安全地保存您的敏感信息。