CXX.SV.PWD.PLAIN.LENGTH.ZERO

ゼロ文字の長さでパスワードを設定しようとしている

アプリケーションがゼロ文字の長さのプレーンテキストパスワードを設定しようとするときに、Klocwork は CXX.SV.PWD.PLAIN.LENGTH.ZERO の欠陥を報告します。

脆弱性とリスク

認証プロセス中に、ユーザーがゼロ文字の長さのパスワードを提示すると、悪意のある攻撃者は、アプリケーションやシステムを簡単に侵害する可能性があります。

軽減と防止

15 文字以上のパスワードを設定することで、強力なパスワードを使用してください。

脆弱コード例

1
2
3
4
5
6
#include <QtSql/QSqlDatabase>
void Database::connect(Ui::MainWindow *ui){
    /* Set connections */
    this->qSqlDatabase.setUserName("J0a1m8");
    this->qSqlDatabase.setPassword("");
}

Klocwork は、5 行目で CXX.SV.PWD.PLAIN.LENGTH.ZERO の欠陥を報告し、「ゼロ文字の長さでパスワードを設定しようとしています。長さを 15 文字以上に増やすことを検討してください」を示します。Database::connect メソッドでは、認証中に、ゼロ文字の文字列が setPassword API に直接渡されています。

修正コード例

1
2
3
4
5
6
7
#include <QtSql/QSqlDatabase>
void Database::connect(Ui::MainWindow *ui){
    /* Set connections */
    QString pwd = "J0a1m8welCome6469";
    this->qSqlDatabase.setUserName("mojito");
    this->qSqlDatabase.setPassword(pwd);
}

setPassword API に提示されるパスワードの長さが 15 文字以上であるため、Klocwork は CXX.SV.PWD.PLAIN.LENGTH.ZERO の欠陥を報告しなくなります。

関連チェッカー

• HCC.PWD
• CXX.SV.PWD.PLAIN
• CXX.SV.PWD.PLAIN.LENGTH

外部参考資料

• CERT MSC41-C: 機密情報をハードコード化しない
• CWE-256: パスワードのプレーンテキストでの保存
• CWE-259: ハードコードされたパスワードの使用
• CWE-287: 不適切な認証
• CWE-798: ハードコードされた資格情報の使用
• OWASP A2:2021 暗号化の失敗
• OWASP A7:2021 識別と認証の失敗
• STIG-ID:V-222536 (APSC-DV-001680): アプリケーションは、長さが 15 文字以上のパスワードの使用を徹底させる必要があります。

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Sensitive Data Exposure (機密データの漏えい)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます
• 「Insufficiently Protected Credentials (十分に保護されていない資格情報)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます
• 「Improper Authentication (不適切な認証)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます
• 「Sensitive Data Exposure (機密データの漏えい)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます