zoukankan      html  css  js  c++  java
  • Fortify Audit Workbench 笔记 Privacy Violation: Heap Inspection 隐私泄露(堆检查)

    Privacy Violation: Heap Inspection 隐私泄露(堆检查)

    Abstract

    将敏感数据存储在 String 对象中使系统无法从内存中可靠地清除数据。

    Explanation

    如果在使用敏感数据(例如密码、社会保障号码、信用卡号等)后不清除内存,则存储在内存中的这些数据可能会泄漏。 通常而言, String 是所用的存储敏感数据,然而,由于 String 对象不可改变,因此用户只能使用 JVM 垃圾收集器来从内存中清除 String 的值。 除非 JVM 内存不足,否则系统不要求运行垃圾收集器, 因此垃圾收集器何时运行并无保证。 如果发生应用程序崩溃,则应用程序的内存转储操作可能会导致敏感数据泄漏。
    例 1: 下列代码可将密码从字符数组转换为 String。

    private JPasswordField pf;
    ...
    final char[] password = pf.getPassword();
    ...
    String passwordAsString = new String(password);
    

    此种类来源于 Cigital Java Rulepack。 http://www.cigital.com/securitypack/

    Recommendation

    请始终确保不再需要使用敏感数据时将其清除。 可使用能够通过程序清除的字节数组或字符数组来存储敏感数据,而不是将其存储在类似 String 的不可改变的对象中。 例 2: 下列代码可在使用密码后清除内存。

    private JPasswordField pf;
    ...
    final char[] password = pf.getPassword();
    // use the password
    ...
    // erase when finished
    Arrays.fill(password, ' ');
    
  • 相关阅读:
    Christmas Jump(k_push)
    cloudyarn(k_push)
    Eye sketch
    Candy Treasure Box
    Active Ball
    Lotus words
    Super Fish
    [POJ2436] Disease Management
    [bzoj3376] Cube Stacking 方块游戏
    [POJ3009] Curling 2.0
  • 原文地址:https://www.cnblogs.com/mahongbiao/p/12862885.html
Copyright © 2011-2022 走看看