Abstract: 在配置文件中存储明文密码，可能会危及系统安全。 Explanation: 在配置文件中存储明文密码会使所有能够访问该文件的人都能访问那些用密码保护的资源。程序员有时候认为，他们不可能阻止 ...

Password Management: Password in Configuration File(明文存储密码) https://www.cnblogs.com/mahongbiao/p/12496042.html Command Injection(命令注入) https ...

Oh My God! 最近检查代码，发现某个系统登录的逻辑直接用明文查询数据库，然后栈长去看了下数据库表，居然是明文存储，简直不敢相信。。。 简单介绍下，这是一个企业内部系统，就几个功能点，公司某个部门的人在用，整个系统就由一个开发人员完成，这个开发人员毕业两年左右了，还算是初级开发。 密码 ...

Header Manipulation Abstract HTTP 响应头文件中包含未验证的数据会引发 cache-poisoning、 cross-site scripting、 cross-u ...

Abstract 如果没有适当的 access control，就会执行一个包含用户控制主键的 SQL 指令，从而允许攻击者访问未经授权的记录。 Explanation Database acc ...

Path Manipulation Abstract 通过用户输入控制 file system 操作所用的路径，借此攻击者可以访问或修改其他受保护的系统资源。 Explanation 当满足以下两个条件时，就会产生 path manipulation 错误： 1. 攻击者能够指定某一 ...

　　继续对Fortify的漏洞进行总结，本篇主要针对 Dynamic Code Evaluation: Code Injection（动态脚本注入） 和 Password Management: Hardcoded Password（密码硬编码） 的漏洞进行总结，如下： 1.1、产生原因 ...

在对项目进行安全扫描时，发现一些密码硬编码问题，本文主要三个方面：1）什么是密码硬编码；2）密码硬编码的危害；3）密码硬编码的解决方案。 一 什么是密码硬编码 将密码以明文的形式直接写到代码中，就是密码硬编码。 下边示例中，将用户名和密码直接写到代码中，就是硬编码 ...