CXX.SV.PWD.PLAIN

该应用程序不得以明文形式显示密码/PIN

当应用程序尝试使用纯文本格式的字符串来设置密码或 PIN 时，Klocwork 会报告 CXX.SV.PWD.PLAIN 缺陷。

漏洞与风险

如果存储位置或网络未受外部加密保护，则任何可以访问字符串的人员都能查看密码。

在身份验证过程中，如果用户提供纯文本格式的密码或 PIN，恶意行为者可以拦截该数据，从而损害用户帐户的安全性。

缓解与预防

可使用加密技术抵御此类攻击。例如，QT 框架提供名为 encryptToString 的 API，用于加密纯文本字符串。

漏洞代码示例

1
2
3
4
5
void Database::connect(Ui::MainWindow *ui){
    /* Set connections */
    this->qSqlDatabase.setUserName("mojito");
    this->qSqlDatabase.setPassword("J0a1m8");
}

Klocwork 在第 4 行报告了 CXX.SV.PWD.PLAIN 缺陷，指出“尝试使用纯文本字符串设置密码。请考虑使用加密技术对纯文本字符串进行加密。”在 Database::connect 方法中，纯文本字符串“J0a1m8”直接传递给了 setPassword API。

修正代码示例

1
2
3
4
5
6
7
void Database::connect(Ui::MainWindow *ui){
    /* Set connections */
    QString pwd = "J0a1m8";
    QString encryptedData = encryptToString(pwd);
    this->qSqlDatabase.setUserName("mojito");
    this->qSqlDatabase.setPassword(encryptedData);
}

Klockwork 不再报告 CXX.SV.PWD.PLAIN 缺陷，因为 QT 框架提供的 encryptToString API 在文本 J0a1m8 传递给 setPassword API 之前对其进行了加密。

相关检查器

• HCC.PWD
• CXX.SV.PWD.PLAIN.LENGTH
• CXX.SV.PWD.PLAIN.LENGTH.ZERO

外部指导

• CERT MSC41-C：永远不要硬编码敏感信息
• CWE-256：密码的纯文本存储
• CWE-259：硬编码密码的使用
• CWE-287：不适当的身份验证
• CWE-798：硬编码凭据的使用
• OWASP A2:2021 加密失败
• OWASP A7:2021 标识和身份验证失败
• STIG-ID:V-222554 (APSC-DV-001850)：该应用程序不能以明文形式显示密码/PIN。

安全培训

应用程序安全培训材料由 Secure Code Warrior 提供。

• 敏感数据暴露培训视频 - 用培训示例来检验您的技能
• 未受到充分保护的凭据培训视频 - 用培训示例来检验您的技能
• 不适当的身份验证培训视频 - 用培训示例来检验您的技能
• 敏感数据暴露培训视频 - 用培训示例来检验您的技能

扩展

此检查器可通过 Klocwork 知识库进行扩展。有关详情，请参阅调整 C/C++ 分析。