Quali informazioni può contenere un codice sorgente? [chiuso]

-3

Il codice sorgente di un'applicazione può contenere il nome utente e / o la password?

Se sì, come possiamo determinarlo?

Anche quali altre informazioni possono contenere?

    
posta Utkarsh Agrawal 21.01.2017 - 11:17
fonte

3 risposte

1

In base al tag, stai parlando di applicazioni web. Non dovresti essere difficile codificare nomi utente, password o stringhe di connessione nel codice sorgente. Questi dovrebbero essere nei file di configurazione o nel database in base alla piattaforma e all'architettura.

È possibile e dovrebbe garantire che questi dati siano crittografati - .net, ad esempio, consente la crittografia dei file di configurazione web. Dovresti anche assicurarti che il tuo server web non serva i file di configurazione e protegga dagli attacchi che potrebbero ottenerli, ad esempio: attacchi di directory directory, attacchi di padbuster.

Questo rimuove qualsiasi cosa seriamente confidenziale dalla fonte, ma ricorda di non lasciare i backup di origine nella tua directory web accessibile.

Con la fonte il tuo aggressore avrà un quadro completo di come funziona la tua applicazione, di come autenticarti, degli input accettati, della gestione degli errori e di qualsiasi altra cosa riguardante la tua applicazione. Ci sono un numero innumerevole di exploit che potrebbero determinare da ciò analizzando manualmente il codice o eseguendolo attraverso uno strumento di analisi statico.

    
risposta data 21.01.2017 - 11:26
fonte
0

In un'app di 3 livelli configurata correttamente, nessuna password dovrebbe essere codificata nel codice sorgente.

Il codice sorgente è come la stampa blu di una casa. Se hai il progetto puoi facilmente identificare tutto il modo semplice di entrare e uscire. Allo stesso modo, se il codice sorgente è disponibile, può essere rianimato per identificare vulnerabilità per crackare il software. Se si tratta di un software commerciale, le persone possono compilare e creare la propria soluzione.

    
risposta data 21.01.2017 - 15:33
fonte
0

I nomi utente e la password nel codice sorgente sono cattive pratiche e pericolose. Non importa se il tuo codice è pubblicamente disponibile o meno, un utente malintenzionato che scopre quelle credenziali avrà accesso all'applicazione. Nella maggior parte dei casi le credenziali con hardcoded hanno privilegi speciali, sono difficili da cambiare (dato che implica la modifica del codice, magari la compilazione, il test e la distribuzione), non possono essere bloccate e talvolta non usano il flusso di lavoro regolare nell'applicazione (come l'accesso!) . Tutte queste cose sono indesiderabili in un'applicazione web, è una backdoor nella tua applicazione

Altre cose che sono comuni a trovare nel codice sorgente e non dovrebbero esserci sono:

  • String connections to database
  • Chiavi di crittografia con hardcoded
  • Valori test hardcoded (come 4242424242424242 per carte di credito)

Nel caso particolare del codice JavaScript eseguito dal client, a volte ci sono commenti nel codice che rivelano il funzionamento interno dell'applicazione lato server. Il codice di commento non è di per sé negativo, ma in questo caso può fornire a un utente malintenzionato alcuni indizi su come funziona il sistema di back-end o può descrivere alcuni bug identificati durante i test per le correzioni future

    
risposta data 21.01.2017 - 16:02
fonte

Leggi altre domande sui tag