HP Fortify 扫描 issue:Password 管理:HTML 形式的密码

HP Fortify scan issue:Password Management: Password in HTML Form

我用Fortify软件扫描我的web项目遇到了很大的困难

问题:密码管理:HTML 表单中的密码

<input name="pin" type="password" data-rule-required="true" value="${pin}">

type="password" 可以让我在 HTML 页面中为用户显示 **

如何修改这个问题?

Fortify 的结果可能有很多噪音,需要一点时间才能弄清楚什么是真实的,什么不是。它变得越来越好,但密码的经常是误报。只需标记一个被抑制或 "Not an Issue".

Fortify 在后端使用了多种不同的分析技术。有些更复杂,例如数据和呼叫分析。其他的是非常简单的语法分析,寻找不安全的函数。

其中一条语法分析规则会在源文件中的任何位置查找单词 "password",并推测它可能代表硬编码密码。但是,它通常只是一个名为 "password"/"pwd" 的变量或 HTML 的一部分(如本例所示)。它们审查起来非常快,只需将它们标记为 "not an issue" 并隐藏,这样它们就不会出现在以后的扫描中。

删除值将通过强化软件