CXX.SV.PWD.PLAIN.LENGTH

尝试设置字符长度小于 15 的密码

应用程序尝试设置字符长度小于 15 的纯文本密码时，Klocwork 会报告 CXX.SV.PWD.PLAIN.LENGTH 缺陷。

漏洞与风险

在身份验证过程中，如果用户提供的密码字符长度小于 15，则恶意行为者可以通过暴力破解攻击截获密码数据并推测密码。

缓解与预防

使用字符长度不小于 15 的强密码。

漏洞代码示例

1
2
3
4
5
6
#include <QtSql/QSqlDatabase>
void Database::connect(Ui::MainWindow *ui){
    /* Set connections */
    this->qSqlDatabase.setUserName("mojito");
    this->qSqlDatabase.setPassword("J0a1m8");
}

Klocwork 在第 5 行报告 CXX.SV.PWD.PLAIN.LENGTH 缺陷，指出“尝试设置字符长度小于 15 的密码，请考虑加长密码长度至 15 个字符或以上。”在 Database::connect 方法中，纯文本字符串“J0a1m8”在身份验证期间直接传递到 setPassword API。密码“J0a1m8”的字符长度小于 15。

修正代码示例

1
2
3
4
5
6
7
#include <QtSql/QSqlDatabase>
void Database::connect(Ui::MainWindow *ui){
    /* Set connections */
    QString pwd = "J0a1m8welCome6469";
    this->qSqlDatabase.setUserName("mojito");
    this->qSqlDatabase.setPassword(pwd);
}

Klocwork 不再报告 CXX.SV.PWD.PLAIN.LENGTH 缺陷，因为提供给 setPassword API 的密码长度至少为 15 个字符。

相关检查器

• HCC.PWD
• CXX.SV.PWD.PLAIN
• CXX.SV.PWD.PLAIN.LENGTH.ZERO

外部指导

• CERT MSC41-C：永远不要硬编码敏感信息
• CWE-256：密码的纯文本存储
• CWE-259：硬编码密码的使用
• CWE-287：不适当的身份验证
• CWE-798：硬编码凭据的使用
• OWASP A2:2021 加密失败
• OWASP A7:2021 标识和身份验证失败
• STIG-ID:V-222536 (APSC-DV-001680)：应用程序必须强制要求密码长度不少于 15 个字符。

安全培训

应用程序安全培训材料由 Secure Code Warrior 提供。

• 敏感数据暴露培训视频 - 用培训示例来检验您的技能
• 未受到充分保护的凭据培训视频 - 用培训示例来检验您的技能
• 不适当的身份验证培训视频 - 用培训示例来检验您的技能
• 敏感数据暴露培训视频 - 用培训示例来检验您的技能