悟空云课堂丨代码安全第三十八期：空密码缺陷漏洞

中科天齐倾情打造《悟空云课堂》旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。本期主题为空密码缺陷漏洞的相关介绍。

一、什么是空密码缺陷?在代码开发阶段，若使用空字符串作为密码，则会构成空密码缺陷。

二、空密码缺陷会造成哪些后果?若我们使用空字符串作为密码，则会导致允许对应用程序进行未经授权的访问。用户名和密码信息都不应以明文包含在配置文件或属性文件中。

三、空密码缺陷的防范和修补方法有哪些?1、开发人员设置密码时，切记不要使用空字符串作为密码，密码长度应至少为八个字符。

4、为保障密码的安全性，建议在设置密码时将数字，“/”或标点符号加入其中。

3、避免使用在词典，地名簿，地图中可能找到的单词。

4、若用普通单词做密码，可用数字和标点符号替换该单词中的字母，但不要使用“外观相似”的标点符号，例如：将cat更改为c @ t、ca +、或者@ +类似的名称，以上均可能出现安全隐患。5、不要使用和已设置的其他密码相似的密码。

四、空密码缺陷样例：

用静态代码检测分析上述程序代码，则可以发现代码中存在着“空密码” 导致的代码缺陷，如下图：

空密码缺陷在CWE中被编号为CWE-258: Empty Passwordin Configuration File