DM
В принципе они дают замечания и время на исправление уязвимостей и примеры как исправить, по крайней мере у нас так было.
Size: a a a
2019 September 17
DM
Стринговые переменные достаточно было переименовать
V
Damir Mukhametgalin
Все переменные с названиями pass, password, key, sign и тд переменовать)) основные уязвимости
Спасибо, переименовал password на ADMIN_PASSWORD 👍
DM
🤣
DM
На parol лучше)
AK
Всем привет , может кто сталкивался , просят приготовить исходники на сканирование по безопасности (ГТС кнб ) , что нужно сделать с исходниками ,на что они их сканить будут . есть предположения?
еще log.info они пишут как утечку данных
AN
еще log.info они пишут как утечку данных
Это действительно так?
AK
Это действительно так?
AK
польный скрин не могу скинут подписал о неразглошении
AK
AK
там кажись устранить надо только Критический уровень
TN
Damir Mukhametgalin
Все переменные с названиями pass, password, key, sign и тд переменовать)) основные уязвимости
это что, серьезно? считается за уязвимость?
DM
это что, серьезно? считается за уязвимость?
да
T
там кажись устранить надо только Критический уровень
А не пробовали доказать, что это false positive?
TN
почему?
N
из дампа пароль узнать можно))
БС
скорее всего из-за
getMessage(), в логгер нужно отправить, типа, With MaketService happend smth bad, ops. мало ли какие данные пользователя может лежать в getMessage()N
AK
А не пробовали доказать, что это false positive?
аудиторам сказали они сказали что можно только критические делать
AK
скорее всего из-за
getMessage(), в логгер нужно отправить, типа, With MaketService happend smth bad, ops. мало ли какие данные пользователя может лежать в getMessage()кстати да очень даже возможно