「堆檢查」漏洞

php小编鱼仔今天给大家带来一则关于“堆检查”漏洞的java问答。在软件开发过程中，堆检查是一种常见的安全漏洞，容易被黑客利用进行恶意攻击。通过本文的问答形式，我们将带您深入了解堆检查漏洞的定义、原理和防范方法，帮助您更好地保护软件系统的安全性。

问题内容

我需要向通话传递密码。如果我这样做

byte[] datasourcepasswddecoded = base64.getdecoder().decode(datasourcepasswdencoded);
string datasourcepasswd = new string(datasourcepasswddecoded);
hikaridatasource.setpassword(datasourcepasswd);

当 fortify 扫描该代码时，报告称由于将密码分配给字符串，该代码存在“堆检查”漏洞。

fortify 不会抱怨原始代码：

hikaridatasource.setpassword(env.getproperty("spring.datasource.password"));

即使 env.getproperty() 确实返回一个字符串。

fortify 推荐的是：

private JPasswordField pf;
...
final char[] password = pf.getPassword();
// use the password
...
// erase when finished
Arrays.fill(password, ' ');

但是当函数需要字符串时，如何使用 char[] 作为密码？

解决方法

是的...对密码进行 Base64 编码根本没有保护作用。任何有半点脑子的黑客都知道如何识别和解码base64。所以你的“奇怪的base64东西”没有帮助。

但另一方面，您的漏洞扫描程序指出了一个相对难以利用的问题，而且可能无论如何都无法解决。

在应用程序中的某个时刻（其依赖项或某处），密码将被转换为 Java String ...因为某些 API 需要 String。此时，无论扫描器是否告诉您，您都存在“堆检查”漏洞。例如，如果数据源使用 JDBC，则需要将该密码作为参数传递给 DriverManager.connect 调用。 connect 有 3 个重载...但它们都需要将密码作为明文字符串传递。解决这个问题是不切实际的。

^{（显然，Fortify 建议的所谓修复显然不起作用。并且它没有注意到您对 setPassword(env.getProperty("spring.datasource.password")) 的调用是只是您当前正在做的事情“不好”。这是“表演安全”...）}

最实用的解决方案是告诉扫描仪这是一个“误报”。然后采取措施防止黑客附加调试器、检查 RAM、核心转储、交换磁盘等，并在堆中搜寻可能代表密码的 String 对象。

还有一个“令人讨厌的”解决方案，需要通过 String 对象的类型抽象来粉碎并覆盖其支持数组。但这种方法很脆弱。

• String 的表示形式在 Java 的生命周期中已更改多次，每次更改都可能会破坏您的 String 覆盖代码。
• 在某些情况下，String 的后备数组会与其他 String 对象共享，破坏后备数组会损坏这些对象。
• 存在查找密码 String可能已被复制或插入到其他 String 对象的所有情况的问题。

除非您正在处理机密信息，否则（IMO）这太过分了。如果您正在处理机密信息，请在采取这些措施之前保护您的平台。 （并且不要依赖愚蠢的安全扫描软件来进行安全审核！）

以上是「堆檢查」漏洞的詳細內容。更多資訊請關注PHP中文網其他相關文章！