悟空云课堂丨代码安全第三十八期:空密码缺陷漏洞
中科天齐软件源代码安全检测中心
共 538字,需浏览 2分钟
·
2021-05-25 16:42
中科天齐倾情打造《悟空云课堂》旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。本期主题为空密码缺陷漏洞的相关介绍。
一、什么是空密码缺陷?在代码开发阶段,若使用空字符串作为密码,则会构成空密码缺陷。
二、空密码缺陷会造成哪些后果?若我们使用空字符串作为密码,则会导致允许对应用程序进行未经授权的访问。用户名和密码信息都不应以明文包含在配置文件或属性文件中。
三、空密码缺陷的防范和修补方法有哪些?1、开发人员设置密码时,切记不要使用空字符串作为密码,密码长度应至少为八个字符。
4、为保障密码的安全性,建议在设置密码时将数字,“/”或标点符号加入其中。
3、避免使用在词典,地名簿,地图中可能找到的单词。
4、若用普通单词做密码,可用数字和标点符号替换该单词中的字母,但不要使用“外观相似”的标点符号,例如:将cat更改为c @ t、ca +、或者@ +类似的名称,以上均可能出现安全隐患。5、不要使用和已设置的其他密码相似的密码。
四、空密码缺陷样例:
用静态代码检测分析上述程序代码,则可以发现代码中存在着“空密码” 导致的代码缺陷,如下图:
空密码缺陷在CWE中被编号为CWE-258: Empty Passwordin Configuration File
评论