未使用 HTTPS URL¶
ID: cpp/non-https-url
Kind: path-problem
Security severity: 8.1
Severity: warning
Precision: high
Tags:
- security
- external/cwe/cwe-319
- external/cwe/cwe-345
Query suites:
- cpp-code-scanning.qls
- cpp-security-extended.qls
- cpp-security-and-quality.qls
使用 HTTP 协议构造 URL 会导致连接不安全。
建议¶
构造 URL 时,请确保使用 HTTPS URL 而不是 HTTP URL。这样,使用该 URL 建立的任何连接都是安全的 SSL 连接。
示例¶
以下示例展示了两种使用 URL 打开连接的方式。当使用 HTTP URL 而不是 HTTPS URL 打开连接时,连接是不安全的。当使用 HTTPS URL 打开连接时,连接是安全的 SSL 连接。
void openUrl(char *url)
{
// ...
}
openUrl("http://example.com"); // BAD
openUrl("https://example.com"); // GOOD: Opening a connection to a URL using HTTPS enforces SSL.
参考资料¶
OWASP:传输层保护备忘单.
OWASP 十大漏洞:A08:2021 - 软件和数据完整性缺陷.
常见漏洞枚举:CWE-319.
常见漏洞枚举:CWE-345.