Category-1010: 验证参与者

ID: 1010 Status: Draft

Summary

Weaknesses in this category are related to the design and architecture of authentication components of the system. Frequently these deal with verifying the entity is indeed who it claims to be. The weaknesses in this category could lead to a degradation of the quality of authentication if they are not addressed when designing or implementing a secure architecture.

Membership

ID	NAME
CWE-258	配置文件中缺省空口令
CWE-259	使用硬编码的口令
CWE-262	未使用口令老化机制
CWE-263	口令老化拥有过长有效期
CWE-287	认证机制不恰当
CWE-288	使用候选路径或通道进行的认证绕过
CWE-289	使用候选名称进行的认证绕过
CWE-290	使用欺骗进行的认证绕过
CWE-291	信任自主报告的IP地址
CWE-293	使用Refer域进行认证
CWE-294	使用捕获-重放进行的认证绕过
CWE-301	认证协议中的反射攻击
CWE-302	使用假设不可变数据进行的认证绕过
CWE-303	认证算法的不正确实现
CWE-304	认证中关键步骤缺失
CWE-305	使用基本弱点进行的认证绕过
CWE-306	关键功能的认证机制缺失
CWE-307	过多认证尝试的限制不恰当
CWE-308	使用单一因素认证机制
CWE-322	未进行实体认证的密钥交换
CWE-521	弱口令要求
CWE-593	认证绕过：SSL对象创建后修改OpenSSL CTX对象
CWE-603	使用客户端的认证机制
CWE-620	未经验证的口令修改
CWE-640	忘记口令恢复机制弱
CWE-798	使用硬编码的凭证
CWE-836	在认证机制中使用口令哈希代替口令
CWE-916	使用具有不充分计算复杂性的口令哈希

References

REF-9 A Catalog of Security Architecture Weaknesses. REF-10 Understanding Software Vulnerabilities Related to Architectural Security Tactics: An Empirical Investigation of Chromium, PHP and Thunderbird.