在對項目進行安全掃描時,發現一些密碼硬編碼問題,本文主要三個方面:1)什么是密碼硬編碼;2)密碼硬編碼的危害;3)密碼硬編碼的解決方案。
一 什么是密碼硬編碼
將密碼以明文的形式直接寫到代碼中,就是密碼硬編碼。
下邊示例中,將用戶名和密碼直接寫到代碼中,就是硬編碼。
1 function connectionDatabase(url, userName, password) { 2 // .... 3 } 4 5 connectionDatabase('./api', 'zhangsan', '1234567');
二 密碼硬編碼的危害
主要危害有2個方面:
1)安全風險
只要能拿到該代碼的人(即使代碼發布前做過編譯或者混淆壓縮,也能通過反編譯等手段查看到源碼),都能獲取到該用戶名和密碼,導致安全風險;
2)可維護性不好
代碼一旦發布上線,后續要修改該用戶名和密碼非常困難,需要更改源代碼。
三 密碼硬編碼的解決方案
密碼硬編碼還沒有絕對安全的解決方案,只能通過加大破解難度來提高安全性。
最常用的方法是對密碼進行模糊化(例如:要先經過hash處理再存儲),並將密碼存在外部資源文件中進行管理。
示例:
下邊代碼中就是獲取配置文件中配置好的密碼:
下邊代碼中就是配置文件中加密過的密碼:
說明:經過上邊的處理,並不是就絕對安全了,黑客高手也有手段破解。但相比直接明文方式加密,至少能解決安全軟件掃描問題。
四 參考資料&內容來源
CSDN:https://blog.csdn.net/alimobilesecurity/article/details/51425629
博客園:https://www.cnblogs.com/meInfo/p/9037584.html
51CTO: http://netsecurity.51cto.com/art/201603/507142.htm