DeepCode的主要发现#2:Java / Python硬编码密码

最新推荐文章于 2025-05-10 09:41:14 发布
翻译 最新推荐文章于 2025-05-10 09:41:14 发布 · 561 阅读 · 0
文章标签:

#python

本文探讨了在软件开发中硬编码密码的常见安全性问题,包括CWE259和CWE798在内的多个弱点分类,以及OWASP列出的安全实践。文章分析了硬编码密码可能带来的风险,如密码泄露和更新困难,并介绍了DeepCode如何识别此类问题及其提供的解决方案,如使用.dcignore文件或代码注释来避免误报。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

嘿,

语言:Java / Python 缺陷:密码/登录(类别安全性2) 诊断:硬编码字面量在已知受密码保护的函数中用作参数

See an example in Java here.
UPDATE (1/7/2020): CI小号CO hard-coded credentials here CVE-2019–15977 and here CVE-2019–15975.

背景: DeepCode从开放源代码存储库学习。 例如,我们知道应用程序中典型的密码或机密来源是什么。 通常,从受保护的配置存储中读取的功能。 我们跟踪这些数据通过开源应用程序所经过的流程,并能够识别这些机密的典型接收者或用户(例如,数据库或API登录名)。 在确定了这些接收器之后,我们现在可以强制执行以下操作:未保护的源(例如源代码中的硬编码常量)不会产生秘密数据。

Obviously, having your passwords hard-coded in your application is a bad practice. The Common Weakness Enumeration lists it twice: Both CWE 259 Use of Hard-Coded Passwords and CWE 798 Use of Hard-Coded Credentials. OWASP also lists it.

除了将密码信息泄露给您的开发团队或有权访问您的源代码的任何其他人的风险之外,这也使得更改操作端的密码非常困难。 我猜想不将秘密密钥粘贴到不属于它们的文件中是不费吹灰之力的。

但这还有另一个有趣的方面。 我们发现此错误有很多误报。 原因是在测试中或默认情况下两个交互的系统相互信任时,使用带有硬编码密码的功能可能是合法的。 是的,我们现在可以讨论这种做法是否合法。 但是,让我们暂时接受它。 显然,误报是我们要尽可能防止的事情。 那么,我们该怎么办?

We decided on the strict side of things. We accept some false positives but rather report possible issues. If you want to prevent false positives, we offer two ways: (1) With the .dcignore file (see here ) or (2) by adding a comment in your file (see here ). Better safe than sorry. So, give it a run at deepcode.ai

0xff

from: https://dev.to//deepcode/deepcode-s-top-findings-2-java-python-hard-coded-password-1a4

cunxiedian8614
关注
【AI人工智能】用于代码生成的大型语言模型 Large Language Models for Code Generation
AI天才研究院
06-09 1万+
大型语言模型通常采用Transformer等注意力机制架构,能够有效捕获输入序列中长程依赖关系。具体而言,编码器将输入序列映射为上下文表示,解码器则根据上下文和已生成的部分序列预测下一个token。代码生成任务中的输入序列可以是自然语言的问题描述、函数签名、测试用例等形式。模型通过学习大量的代码-自然语言语料对,建立两者之间的映射关系。在生成阶段,给定输入序列,解码器基于学习到的知识逐步推理和生成目标代码。
Python-一种企业友好的方式来检测和防止密码硬编码到代码中
08-10
一种企业友好的方式来检测和防止密码硬编码到代码中
python 硬编码_试试 python-dotenv,避免敏感信息被硬编码到代码中
weixin_33212263的博客
01-20 727
我们开发的每个系统都离不开配置信息,例如数据库密码、Redis密码、邮件配置、各种第三方配置信息,这些信息都非常敏感,一旦泄露出去后果非常严重,被泄露的原因一般是程序员将配置信息和代码混在一起导致的。 判断一个系统是否正确地将配置排除在代码之外,一个简单的方法是看该系统的代码是否可以立刻开源,而不用担心会暴露任何敏感信息。 所以我们做的第一件事情就是将配置信息与代码解耦,根据不同的部署环境...
1 密码学的发展历程
weixin_44172023的博客
04-04 5768
想知道更多区块链技术知识,请百度【链客区块链技术问答社区】 链客,有问必答! 1密码学的历史悠久,古时候主要应用于军事机密的传送,如“口令”,“暗号”等。在1970年之前,密码学的应用范畴大部分还是在政府层面,直到标准加密系统-数据加密标准和非对称加密算法的发明,密码学才逐步被深入应用在各个领域。 1 密码学的发展历程 密码学的发展大致可以分为三个阶段:古典密码->现代密码->...
开发安全之:Password Management: Hardcoded Password
irizhao的专栏
01-19 833
使用硬编码方式处理密码绝非好方法。这不仅是因为所有项目开发人员都可以使用通过硬编码方式处理的密码,而且还会使解决这一问题变得极其困难。在代码投入使用之后,除非对软件进行修补,否则将无法更改密码。在系统中采用明文的形式存储密码,会造成任何有充分权限的人读取和无意中误用密码。较为安全的解决方法来是采用由用户创建的所有者机制,而这似乎也是如今唯一可行的方法。该代码可以正常运行,但是有权访问该代码的任何人都能得到这个密码。一旦程序发布,除非修补该程序,否则可能无法更改数据库用户“scott”和密码“tiger”。
悟空云课堂|第四十四期:使用硬编码密码
Tianqi_Wukong的博客
06-28 517
悟空云课堂|第四十四期:使用硬编码密码 该栏目为中科天齐软件安全中心全新规划的悟空云课堂,每周五准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 本期主题为第四十四期:使用硬编码密码的相关介绍。 01 什么是使用硬编码密码? 软件包含一个硬编码密码,该密码用于自己的入站身份验证或与外部组件的出站通信。 这种处理方式一方面不易于程序维护,在代码投入使用后,除非对软件进行修补,否则无法修改密码。另一方面会削弱系统安全性,硬编码密码意味着拥有代码权限的人都可以查看到
【代码重构核心:FBP模型角色】:Python中的先决条件与实践
[【代码重构核心:FBP模型角色】:Python中的先决条件与实践](https://jpaulm.github.io/fbp/images/FBP_multiplexing_example.png) # 1. 代码重构的核心概念与重要性 代码重构是软件开发过程中的一个关键环节,它...
从初级到资深:代码质量提升的职业跃迁之路
最新发布
AI天才研究院
05-10 823
本文面向0-5年经验的程序员群体,构建代码质量提升的阶梯式成长模型。通过解析不同职业阶段的代码质量特征、核心技术要求和思维方式转变,提供可落地的提升路径。内容覆盖代码规范、设计原则、测试体系、架构演进等核心领域,结合Python实战案例演示具体技术实现。职业阶段划分:定义初级/中级/资深开发者的代码质量能力模型核心技术体系:涵盖代码规范、设计原则、测试驱动开发等核心模块实战方法论:通过电商订单系统案例演示代码优化过程工具与资源:推荐各阶段适用的开发工具和学习资料。
Java代码审计技术深度谈】:掌握抽象语法树(AST)的奥秘
Java代码审计是保障软件安全和质量的重要手段,而抽象语法树(AST)作为代码分析的核心,对于发现潜在问题至关重要。本文首先介绍了Java代码审计的基本概念和AST的基础知识,深入探讨了AST在代码解析、语法结构分析...
《人工智能编程助手:开启编程提效新时代》
zheng_ruiguo的专栏
11-22 967
当今数字化时代,软件开发的效率和质量对于企业的竞争力至关重要。随着人工智能技术的不断发展,人工智能编程助手正逐渐成为软件开发领域的重要工具。这些工具利用先进的机器学习算法和自然语言处理技术,能够为开发者提供智能的代码建议、自动完成、错误检测和修复等功能,极大地提高了开发效率和代码质量。
deep tracking code
05-19
本程序是香港理工大学 Yang Lingxiao在2017年发表在ACM multimedia 上的文章《deep Location-specific tracking》
密码密钥硬编码检查
shendong70的博客
07-12 2252
Verizon《2022数据泄露调查报告(DBIR)》指出,61%的数据泄露涉及凭证数据,凭证是犯罪分子最喜欢的数据类型,就像披着羊皮的狼一样,它们的行为在攻击之前显得无害。凭证的泄露是信息泄露的主要途径,内部员工操作不规范、没有养成良好的工作行为习惯以及疏忽大意等已成为多起严重网络安全事件发生的根本原因。本文重点讲述通过静态检查工具有效的防止密码密钥的泄露。......
java加密key加密,Java加密替代硬编码密钥
weixin_32285411的博客
02-12 552
I am new to encryption.I have looked at the javax.crypto documentation and got encryption of a file to work using this code ...File saveFile = new File("Settings.set");saveFile.delete();FileOutputStre...
sql server 字段密码解密_【缺陷周话】第 25期:硬编码密码
weixin_39635373的博客
12-01 721
聚焦源代码安全,网罗国内外最新资讯!*声明:《缺陷周话》栏目系列文章由360代码卫士团队原创出品。未经许可,禁止转载。代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,因此一直以来都是学术界和产业界研究的热点,并且已经成为安全开发生命周期SDL和DevSecOps等保障体系的重要技术手段。360代码卫士团队...
java开发安全之:Password Management: Hardcoded Password
irizhao的专栏
01-20 2166
WebSphere 以及其他一些应用服务器通常都只提供过期的且相对较弱的加密机制,这对于对安全性要求较高的环境来说是远远不够的。因此,凭证可以存储在加密的数据库中。在系统中的任何位置采用明文的形式存储密码,会造成任何有足够权限的人均可读取和无意中误用密码。更糟的是,如果攻击者能够访问应用程序的字节代码,那么他们就可以利用 javap -c 命令访问已经过反汇编的代码,而这些代码中恰恰包含用户使用过的密码值。... 与Example 1 类似,该代码可以正常运行,但是有权访问此代码的任何人都可以获得此密码
Caffe-DeepBinaryCode的安装和使用
sun007700的专栏
07-16 253
参考 https://blog.csdn.net/sun007700/article/details/95305982 https://www.helplib.com/GitHub/article_124433 make all -j8 报错 from ./include/caffe/layer.hpp:8, from src...
【亲测免费】 深度编码器(DeepCoder)实战指南
gitblog_00436的博客
09-10 793
深度编码器(DeepCoder)实战指南 欢迎来到深度编码器(DeepCoder)项目的学习之旅!本指南旨在帮助您快速了解并上手这一基于深度学习的程序合成工具。 1. 项目介绍 深度编码器(DeepCoder) 是一个实现程序合成的开源项目,灵感源自学术界的一篇重要论文。该项目利用深度学习技术探索如何从简单输入输出示例中自动推断出计算机程序。它旨在自动化编程任务,特别是针对小型程序,通过机器学习模...
揭秘代码安全:告别硬编码,灵活策略守护你的账户密码信息安全
一夜白头催人泪
04-03 297
【代码】揭秘代码安全:告别硬编码,灵活策略守护你的账户密码信息安全。
杀手级ai补代码工具_DeepCode和AI工具准备彻底改变静态代码分析
服务器编程交流平台
07-08 1421
开发人员使用静态分析工具在开发生命周期中更快地识别代码中的问题。 但是,这些工具的总体体系结构仅随着专家制定的新规则而发生了增量变化。 不过,研究人员现在开始使用AI来自动生成更多复杂的规则集来解析代码。 这有助于在生命周期的早期发现更多问题,并提供更好的反馈。 一些公司,例如游戏制造商Ubisoft,已经在内部开发这类工具。 苏黎世联邦理工学院的一组研究人员现在正在为主流采用提供类似的AI...
Python函数式装饰器详解:无/有参数及打印结果控制
Python编程中,装饰器是一种强大的工具,它允许我们在不修改原函数代码的情况下,动态地修改或增强函数的行为。本文将详细介绍Python中的装饰器,分为函数式装饰器和它们的不同应用场景。 一、函数式装饰器 装饰...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值