硬编码密码/凭据

2024-10-02 14:27:58 发布

您现在位置:Python中文网/ 问答频道 /正文
8458 3

我正在检查Python代码的安全性。在

为此,我使用了Bandits(Python的一个模块)和DeepCode等工具(www.deepcode.ai). Bandit发现在硬编码登录和密码中存在一些漏洞,而DeepCode没有发现漏洞。问题在于:

# Guest only login
# Used for Login as Guest button and login the current session as GUEST
APP_GUEST_USERNAME = "ppams.asguest"
APP_GUEST_PASSWORD = "ppams123456"

# SECURITY WARNING: keep the secret key used in production secret!
SECRET_KEY = '10-6d$q$&xxc9heb(hjeda$w%7pxC#+hhx%b0xl&_q(p8(u#uu'

我发现了不应该硬编码凭证的文章。以下是一些文章:https://qxf2.com/blog/dont-hardcode-usernames-and-passwords-in-your-test-scripts/https://www.owasp.org/index.php/Use_of_hard-coded_passwordhttps://www.preemptive.com/blog/article/1059-create-more-secure-applications-don-t-hard-code-credentials-instead-use-application-hardening/106-risk-management。在

那么,使用硬编码凭证有什么风险?你能给我看看样品吗? 如果凭据不能硬编码,那么安全凭据的替代方法是什么?在

谢谢


Tags: andtheinhttpsapp编码secretas
1条回答
网友
1楼 · 发布于 2024-10-02 14:27:58

有几件事需要考虑,首先,您将无法通过存储库公开您的项目,因为您的代码可以清晰地访问。 第二,如果你想和朋友分享你的代码,而不必经过公共存储库,他们可以访问你的API密钥或密码。 第三,我们往往忘记的一个常见的危险是,如果你的计算机被破坏,而这个人看到了你的脚本/程序,他们也将有权访问。 因此,总而言之,如果你的脚本停留在与互联网隔绝的计算机上,这不是一个漏洞,因为它是安全的,但这仍然是一个不好的做法。另一方面,如果您的代码由于任何原因被共享,那么它就变得危险了。在

另一种选择是创造安尼例如,您将存储所有敏感数据但不会公开共享的文件。在

相关问题 更多 >

    编程相关推荐