SV.PASSWD.HC.EMPTY
このエラーは、パスワードを受け付けるメソッドまたは暗号化を実行するメソッドに空の文字列が到達した場合に発生します。
脆弱性とリスク
空のパスワードは、システムを攻撃するための容易な方法となります。
Klocwork セキュリティ脆弱性 (SV) チェッカーは、潜在的に危険なデータを生成する呼び出しを特定します。このような呼び出しは安全でないソースと考えられます。ユーザーは攻撃者になる可能性があり、ヒューマンエラーを取り込む可能性があるため、安全でないソースはユーザーが指定した任意のデータである可能性があります。
軽減と防止
空のパスワード、特に、ハードコードされた空のパスワードを使用しないようにします。
例 1
コピー
public static void main(String[] args) throws SQLException {
Properties info = new Properties();
info.setProperty("user", "root");
info.setProperty("password", "");
DriverManager.getConnection("jdbc:mysql://localhost:3307", info);
}
SV.PASSWD.HC.EMPTY が 16 行目に対して報告されています。 空のパスワードをアプリケーションに残すことは、重大なセキュリティリスクです。
外部参考資料
セキュリティトレーニング
Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。
拡張機能
このチェッカーは、Klocwork knowledge base (ナレッジベース) を利用して拡張できます。詳細については、Java 解析のチューニングを参照してください。