Unprotected Storage of Credentials簡而言之就是沒有加密保護密碼或金鑰
跟前面提到的Cryptographic Failures不一樣的地方在於,一個是有加密但是做得不夠好,一個則是連加密都沒加密。
最常見的例子就是,大家都知道db密碼不能寫死在程式裡避免原始碼外洩之後連密碼也一起洩露,所以大多都會放在config.properties之類的檔案之中,再讓程式去讀取這個設定檔。
但是,密碼卻是明文寫在config.properties裡,只要有人取得了config.properties,資料庫的密碼也就外洩了。
最好的做法是以加密後的值寫到config.properties,程式取config.properties的值之後再解密。
iThome鐵人賽
看影片追技術