Category-1010: 验证参与者

ID: 1010 Status: Draft


Weaknesses in this category are related to the design and architecture of authentication components of the system. Frequently these deal with verifying the entity is indeed who it claims to be. The weaknesses in this category could lead to a degradation of the quality of authentication if they are not addressed when designing or implementing a secure architecture.


CWE-258 配置文件中缺省空口令
CWE-259 使用硬编码的口令
CWE-262 未使用口令老化机制
CWE-263 口令老化拥有过长有效期
CWE-287 认证机制不恰当
CWE-288 使用候选路径或通道进行的认证绕过
CWE-289 使用候选名称进行的认证绕过
CWE-290 使用欺骗进行的认证绕过
CWE-291 信任自主报告的IP地址
CWE-293 使用Refer域进行认证
CWE-294 使用捕获-重放进行的认证绕过
CWE-301 认证协议中的反射攻击
CWE-302 使用假设不可变数据进行的认证绕过
CWE-303 认证算法的不正确实现
CWE-304 认证中关键步骤缺失
CWE-305 使用基本弱点进行的认证绕过
CWE-306 关键功能的认证机制缺失
CWE-307 过多认证尝试的限制不恰当
CWE-308 使用单一因素认证机制
CWE-322 未进行实体认证的密钥交换
CWE-521 弱口令要求
CWE-593 认证绕过:SSL对象创建后修改OpenSSL CTX对象
CWE-603 使用客户端的认证机制
CWE-620 未经验证的口令修改
CWE-640 忘记口令恢复机制弱
CWE-798 使用硬编码的凭证
CWE-836 在认证机制中使用口令哈希代替口令
CWE-916 使用具有不充分计算复杂性的口令哈希


REF-9 A Catalog of Security Architecture Weaknesses. REF-10 Understanding Software Vulnerabilities Related to Architectural Security Tactics: An Empirical Investigation of Chromium, PHP and Thunderbird.