CWE ID: 259
Name: Use of Hard-coded Password
Das Produkt enthält ein fest einprogrammiertes Passwort, welches für die eigene Inbound-Authentifizierung oder für die Outbound-Kommunikation zu externen Komponenten verwendet wird.
Effektivität: Unknown
Beschreibung: Für die Outbound-Authentifizierung: Speichern Sie Passwörter außerhalb des Codes in einer stark geschützten, verschlüsselten Konfigurationsdatei oder Datenbank, die vor Zugriff durch alle externen Parteien geschützt ist, einschließlich anderer lokaler Benutzer auf demselben System. Schützen Sie den Key (CWE-320) angemessen. Sollte eine Verschlüsselung der Datei nicht möglich sein, stellen Sie sicher, dass die Berechtigungen so restriktiv wie möglich sind.
Effektivität: Unknown
Beschreibung: Für die Inbound-Authentifizierung: Anstatt einen Standard-Benutzernamen und ein Standard-Passwort für die erstmalige Anmeldung fest zu codieren, nutzen Sie einen “first login” Modus, der den Benutzer zur Eingabe eines eindeutigen, starken Passworts verpflichtet.
Effektivität: Unknown
Beschreibung: Führen Sie Access Control Checks durch und beschränken Sie, welche Entitäten auf die Funktion zugreifen können, die das hartcodierte Passwort benötigt. Beispielsweise könnte eine Funktion nur über die System Console aktiviert werden, anstatt über eine Netzwerkverbindung.
