Abstract: 在配置文件中存儲明文密碼，可能會危及系統安全。 Explanation: 在配置文件中存儲明文密碼會使所有能夠訪問該文件的人都能訪問那些用密碼保護的資源。程序員有時候認為，他們不可能阻止 ...

Password Management: Password in Configuration File(明文存儲密碼) https://www.cnblogs.com/mahongbiao/p/12496042.html Command Injection(命令注入) https ...

Oh My God! 最近檢查代碼，發現某個系統登錄的邏輯直接用明文查詢數據庫，然后棧長去看了下數據庫表，居然是明文存儲，簡直不敢相信。。。 簡單介紹下，這是一個企業內部系統，就幾個功能點，公司某個部門的人在用，整個系統就由一個開發人員完成，這個開發人員畢業兩年左右了，還算是初級開發。 密碼 ...

Header Manipulation Abstract HTTP 響應頭文件中包含未驗證的數據會引發 cache-poisoning、 cross-site scripting、 cross-u ...

Abstract 如果沒有適當的 access control，就會執行一個包含用戶控制主鍵的 SQL 指令，從而允許攻擊者訪問未經授權的記錄。 Explanation Database acc ...

Path Manipulation Abstract 通過用戶輸入控制 file system 操作所用的路徑，借此攻擊者可以訪問或修改其他受保護的系統資源。 Explanation 當滿足以下兩個條件時，就會產生 path manipulation 錯誤： 1. 攻擊者能夠指定某一 ...

　　繼續對Fortify的漏洞進行總結，本篇主要針對 Dynamic Code Evaluation: Code Injection（動態腳本注入） 和 Password Management: Hardcoded Password（密碼硬編碼） 的漏洞進行總結，如下： 1.1、產生原因 ...

在對項目進行安全掃描時，發現一些密碼硬編碼問題，本文主要三個方面：1）什么是密碼硬編碼；2）密碼硬編碼的危害；3）密碼硬編碼的解決方案。 一 什么是密碼硬編碼 將密碼以明文的形式直接寫到代碼中，就是密碼硬編碼。 下邊示例中，將用戶名和密碼直接寫到代碼中，就是硬編碼 ...