SV.PASSWD.HC.EMPTY

当空字符串获得接受密码的方法或执行加密的方法时，便会出现此错误。

漏洞与风险

使用空密码很容易攻击系统。

Klocwork 安全漏洞 (SV) 检查器可识别可能创建危险数据的调用；这些调用被视为不安全的来源。用户所提供的任何数据都可能是不安全的来源，因为用户可能是攻击者，或者可能引入人为错误。

缓解与预防

不使用空密码，特别是硬编码的密码。

示例 1

13
14
15
16
17
18
     public static void main(String[] args) throws SQLException {
         Properties info = new Properties();
         info.setProperty("user", "root");
         info.setProperty("password", "");
         DriverManager.getConnection("jdbc:mysql://localhost:3307", info);
     }

针对第 16 行报告 SV.PASSWD.HC.EMPTY：空字符串用作密码：在应用程序中保留空密码是一个重大安全风险。

外部指导

• CERT MSC03-J：永远不要硬编码敏感信息
• CWE-259：硬编码密码的使用
• OWASP A3:2017 敏感数据暴露
• OWASP A7:2021 标识和身份验证失败
• STIG-ID：APP3320.1 密码复杂性和维护
• STIG-ID：APP3350 身份验证凭据保护

安全培训

应用程序安全培训材料由 Secure Code Warrior 提供。

• 未受到充分保护的凭据培训视频 - 用培训示例来检验您的技能

扩展

此检查器可通过 Klocwork 知识库进行扩展。有关详情，请参阅调整 Java 分析。