[問題] 請問程式碼的問題this.password=password lur PTT批踢踢實業坊

作者: lur (垃圾東西) 2017-12-03 00:09:54

如提，因為客戶的白箱測試掃出這些hardcode password的critical
雖然我覺得這應該只是一個參數
但是我真的不知道怎麼解釋才比較好懂
如果有人願意幫忙的話，我再把程式碼寄到站內信
拜託大家了Q_Q

作者: MartinJu (荒謬人生) 2017-12-03 01:17:00

參數名字改掉吧，學一下反編譯就知道java的這個名稱資安問題很危險

作者: wencheng1230 (Nick) 2017-12-03 01:51:00

參數名稱問題，就算存無關緊要的數值也一定會被掃出風險

作者: jej (æ™ƒå¥¶å¤§é¦¬æ¡¶) 2017-12-03 07:49:00

換成中文密碼

作者: catman1977 (沒有莎士比亞的天份) 2017-12-03 22:13:00

中文還是有可能被掃出來最好是用韓文

作者: KeyFSN ( ～☼☽✩☁～ ) 2017-12-04 10:05:00

不是很懂命名為 password 危險在哪?

作者: VFCanisLupus (CanisLupus) 2017-12-04 10:34:00

fortify嗎? 可改 passWD

作者: jej (æ™ƒå¥¶å¤§é¦¬æ¡¶) 2017-12-04 13:10:00

我還真的看過變數叫不要問很可怕

作者: kusozack (hetun) 2017-12-05 16:54:00

改pwd啊

作者: swpoker (swpoker) 2017-12-06 08:05:00

那套掃描工具阿？fortify很好騙啦

作者: now99 (陳在天) 2017-12-06 18:55:00

程式碼掃描變數名稱改一下只能這樣，class掃描就可以用混淆避掉xd

繼續閱讀