CXX.SV.PWD_INPUT.REVIEW

パスワード認証は、ブルートフォース攻撃に対してチェックを行う必要がある

パスワード認証がアプリケーションで使用されている場合、Klocwork は CXX.SV.PWD_INPUT.REVIEW の欠陥を報告します。会社の認証ポリシーを確実に実施させるために、設計者は欠陥をレビューできます。

脆弱性とリスク

パスワード認証に失敗する試みを制限しなければ、ブルートフォース攻撃を引き起こす可能性があります。ハッカーは、新しいパスワードを繰り返して試みることで、ユーザーのパスワードを見つけようとする可能性があります。制限のない状態で認証の試みを何度も行うことで、アプリケーションへの不正アクセスを引き起こす可能性があります。

軽減と防止

パスワード認証プロセスをレビューして、それが会社の認証ポリシーに従っていることを確認してください。Klocwork では一般的に、認証に失敗する試みを 15 分の間隔内で最大で 3 回に制限することを推奨しています。3 回試行した後に、ユーザーアカウントはロックされる必要があります。

脆弱コード例

1
2
3
4
5
6
7
void login_form1()
{
    QLineEdit *editPassword;
    editPassword = new QLineEdit();
    editPassword->setEchoMode(QLineEdit::Password);
    QString password = editPassword->text();
}

パスワードフィールドが 5 行目で識別されているため、Klocwork は 6 行目で CXX.SV.PWD_INPUT.REVIEW の欠陥を報告します。認証に失敗する試みに対して、このパスワードをアプリケーションのポリシーと確実に一致させるようにするのは、レビュー担当者の役割です。

関連チェッカー

• HCC.PWD
• CXX.SV.PWD.PLAIN
• CXX.SV.PWD.PLAIN.LENGTH
• CXX.SV.PWD.PLAIN.LENGTH.ZERO

外部参考資料

• CWE-307: 過度な認証試行の不適切な制限
• OWASP A2:2021 暗号化の失敗
• OWASP A7:2021 識別と認証の失敗
• STIG-ID:V-222432 (APSC-DV-000530): アプリケーションは、15 分間でのユーザーによる連続 3 回の無効なログオン試行の制限を実施する必要があります。

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Scw Module 20 - Insufficient Anti-Automation (Scw Module 20 - 不十分な反自動化)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます

拡張機能

このチェッカーは、Klocwork knowledge base (ナレッジベース) を利用して拡張できます。詳細については、C/C++ 解析のチューニングおよび PWD_INPUT レコードを参照してください。