【悟空云课堂】第三十八期：空密码缺陷（CWE-258: Empty Passwordin Configuration File）_前端空密码会降低系统安全性怎么解决

关注公众号“中科天齐软件安全中心”（id：woocoom），一起涨知识！

该栏目为中科天齐全新规划的悟空云课堂，每周五下午18:00准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。

什么是空密码缺陷？
在代码开发阶段，若使用空字符串作为密码，则会构成空密码缺陷。

空密码缺陷会造成哪些后果？
若我们使用空字符串作为密码，则会导致允许对应用程序进行未经授权的访问。用户名和密码信息都不应以明文包含在配置文件或属性文件中。

空密码缺陷的防范和修补方法有哪些？
1、开发人员设置密码时，切记不要使用空字符串作为密码，密码长度应至少为八个字符。

4、为保障密码的安全性，建议在设置密码时将数字，“/”或标点符号加入其中。

3、避免使用在词典，地名簿，地图中可能找到的单词。

4、若用普通单词做密码，可用数字和标点符号替换该单词中的字母，但不要使用“外观相似”的标点符号，例如：将cat更改为c @ t、ca +、或者@ +类似的名称，以上均可能出现安全隐患。

5、不要使用和已设置的其他密码相似的密码。

空密码缺陷样例：

…
   
   public 
1
2