• CodeQL 查询帮助文档 »
• CodeQL 查询帮助 - JavaScript 和 TypeScript »

配置文件中的密码

ID: js/password-in-configuration-file
Kind: problem
Security severity: 7.5
Severity: warning
Precision: medium
Tags:
   - security
   - external/cwe/cwe-256
   - external/cwe/cwe-260
   - external/cwe/cwe-313
   - external/cwe/cwe-522
Query suites:
   - javascript-security-extended.qls
   - javascript-security-and-quality.qls

点击查看 CodeQL 仓库中的查询

在配置文件中存储明文密码允许任何可以读取该文件的人访问受密码保护的资源。因此，这是一个常见的攻击向量。

建议

存储在配置文件中的密码应始终被加密。

参考

• 常见弱点枚举：CWE-256.

• 常见弱点枚举：CWE-260.

• 常见弱点枚举：CWE-313.

• 常见弱点枚举：CWE-522.

• ©GitHub, Inc.
• 条款
• 隐私