关键信息总结 漏洞概述 漏洞类型: 硬编码秘密和凭据 (CWE-798) 严重性: 高 受影响版本: ShopSuite ModulithShop Java v1.0.0 (以及可能的早期版本) 问题总结 应用程序包含多个硬编码的密码学秘密和数据库凭据,直接嵌入在Java源代码中。这些硬编码的秘密的存在是一个重大的安全风险,因为它们被编译到应用程序二进制文件中,并且可以通过源代码存储库或反向工程暴露出来。 漏洞位置 1. RSA公钥/私钥对在源代码中 - 位置: (第82,87行) - 示例代码: - 修复后代码示例: 修复措施 短期修复: 使用配置注入或环境变量管理秘密。 长期解决方案: - 开发安全优先实践 - 代码审查指南 - 对秘密进行访问控制 - 测试代码安全 测试 确保问题已解决: - 源文件中不存在硬编码秘密 - 所有秘密从外部配置或环境变量加载 - 源代码中没有硬编码的密码学密钥或密码 - 构建过程包括秘密检测扫描 - CI/CD管道拒绝包含硬编码秘密的提交 其他上下文 CWE-798: 硬编码凭据的使用 OWASP Top 10 2021: A02:2021 – 密码学故障 NIST Cybersecurity Framework: PR.AC-1 (身份和访问管理)