[问题] 请问程式码的问题this.password=password lur PTT批踢踢实业坊

楼主: lur (垃圾东西) 2017-12-03 00:09:54

如提，因为客户的白箱测试扫出这些hardcode password的critical
虽然我觉得这应该只是一个参数
但是我真的不知道怎么解释才比较好懂
如果有人愿意帮忙的话，我再把程式码寄到站内信
拜托大家了Q_Q

作者: MartinJu (荒谬人生) 2017-12-03 01:17:00

参数名字改掉吧，学一下反编译就知道java的这个名称资安问题很危险

作者: wencheng1230 (Nick) 2017-12-03 01:51:00

参数名称问题，就算存无关紧要的数值也一定会被扫出风险

作者: jej (æ™ƒå¥¶å¤§é¦¬æ¡¶) 2017-12-03 07:49:00

换成中文密码

作者: catman1977 (没有莎士比亚的天份) 2017-12-03 22:13:00

中文还是有可能被扫出来最好是用韩文

作者: KeyFSN ( ～☼☽✩☁～ ) 2017-12-04 10:05:00

不是很懂命名为 password 危险在哪?

作者: VFCanisLupus (CanisLupus) 2017-12-04 10:34:00

fortify吗? 可改 passWD

作者: jej (æ™ƒå¥¶å¤§é¦¬æ¡¶) 2017-12-04 13:10:00

我还真的看过变量叫不要问很可怕

作者: kusozack (hetun) 2017-12-05 16:54:00

改pwd啊

作者: swpoker (swpoker) 2017-12-06 08:05:00

那套扫描工具阿？fortify很好骗啦

作者: now99 (陈在天) 2017-12-06 18:55:00

程式码扫描变量名称改一下只能这样，class扫描就可以用混淆避掉xd

继续阅读