パスワード管理を解決する方法 - 設定のパスワード

Question

こんにちは私は私のアプリケーションのすべての脆弱性を見つけるためにHP強化を使用していますが、今は基本的なものを解決しようとしていますが、できません。

設定に問題があります。私はWebアプリケーションを持っていて、プロパティファイル内にこのようなものがあります。

somePassword=passwordPlainText 

私はその後、私はhttp://www.jasypt.org/encrypting-configuration.html、OBS、CRYPTとENCの型を使用して、いくつかの方法で難読化しようとすると、これは間違っているに同意するものとします。しかし私は私のコードをスキャンすると、常に同じ警告が強化されます。私は何か間違っている？

ありがとうございました

Answer 1

次の回答が参考になります。私はこれがデータベースのパスワードであると仮定していますが、他のタイプのアカウントへのアクセスにも同じ概念が適用されます。

https://security.stackexchange.com/questions/22817/how-to-encrypt-database-connection-credentials-on-a-web-server

基本的な原理は、資格情報の不慮の漏洩を回避し、そう（すべての開発者がそれを見ることができます）コードの外の場所でそれらを入れて、外のコンフィギュレーションファイルにしたいということですメインコードのルートと注意深くアクセス制御されます。理想的には、ユーザーアクセス権に従ってデータベースアクセスを適切に構成することにより、パスワードを完全に避けることができます。

注：Fortifyは、基本的に「パスワード」（およびいくつかの亜種）をグレープすることによって、パスワードの問題を検出します。したがって、これは誤っています。これは、「パスワード」という名前の変数、または「パスワード」を記述するコメントがあるだけですが、ファイルにパスワードをハードコードしていない場合です。