Ho cercato di rilevare password codificate in codice sorgente.Rilevamento password hard coded
Attualmente sto verificando l'assegnazione di variabili e il confronto per gli identificatori con una sottostringa corrispondente a password, pswd.
Ma sta portando a un sacco di falsi positivi, come in questo caso (Lettura password da un file di configurazione)
String PASSWORD_KEY = "server.password";
String password = prop.getProperty(PASSWORD_KEY);
posso bandiera alcune sotto-stringhe come chiave, la posizione, il percorso per il quale posso salta la generazione dell'errore ma a parte questo non riesco a pensare ad un approccio migliore.
Tutti i suggerimenti sono apprezzati.
forse è troppo ampio, ma una bella domanda .... vuole essere un universale o le tue password hanno qualche schema (voglio dire, 'MAIUSCOLO',' LOWERCASE', 'SYMBOLS' obbligatorio ?? –
@JordiCastilla I voglio qualcosa che possa funzionare su basi di codice diverse.I controlli correnti che ho imposto fanno corrispondenze a prescindere dal caso.Ho letto e sto cercando di renderlo più generico in modo da soddisfare diversi stili di codifica –
Quindi se è deciso che tutto le password codificate sarebbero un ** Tipo di stringa **, penso che puoi cercare codice in codice per tutte le stringhe codificate con espressione regolare "*", quindi puoi filtrare le password fuori da esso. –