1. 注释中的密码
这种情况指的是开发人员将密码、API密钥、数据库连接字符串等敏感信息直接硬编码在源代码的注释里。
危害
-
源代码泄露: 这是最主要的风险。无论是公开开源项目、内部代码仓库被拖库,还是开发人员不小心将代码截图分享到论坛(如Stack Overflow),注释中的敏感信息都会直接暴露。
-
低攻击门槛: 攻击者无需利用复杂的漏洞,只需能够看到代码(例如通过网站源代码视图、暴露的
.git目录、或备份文件)即可轻松获取高权限凭证。 -
横向移动: 获取的密码往往用于访问数据库、中间件、第三方服务等。攻击者可以利用这些凭证进一步深入攻击,窃取更多数据或破坏系统。
-
难以发现和回收: 这类“隐藏”的密码很难被安全扫描工具发现(因为它们看起来只是注释),并且一旦泄露,需要紧急修改所有相关的密码,操作复杂且容易遗漏。
修复方案
-
立即移除: 第一要务是彻底从代码库的所有历史记录中删除这些注释掉的敏感信息。
-
使用环境变量:
-
将密码、密钥等配置信息从代码中剥离,存储在环境变量中。
-
代码通过
process.env.DB_PASSWORD(Node.js),os.getenv('API_KEY')(Python),getenv("SECRET_KEY")(PHP) 等方式引用。
bash
# 在服务器上设
-
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
