CWE

普遍的弱点

社区开发的软件和硬件弱点类型清单
2021 CWE最重要的硬件弱点
CWE前25个最危险的弱点
>CWE列表> cwe-单个字典定义(4.10)
ID

CWE类别:OWASP前十名2021类A07:2021-标识和身份验证失败

类别ID:1353
+概括
此类别中的弱点与OWASP前十名2021年的A07类别“识别和身份验证失败”有关。
+会员资格
自然 类型 ID 姓名
成员 看法查看 - CWE条目的子集,提供了一种检查CWE内容的方法。两个主视图结构是切片(平面列表)和图(包含条目之间的关系)。 1344 OWASP前十名(2021)中的弱点
hasmember 类别类别 - 包含共享共同特征的其他条目的CWE条目。 255 凭证管理错误
hasmember 变体变体 - 与某种类型的产品相关的弱点,通常涉及特定的语言或技术。比基本弱点更具体。变体级别的弱点通常以以下维度的3到5来描述问题:行为,财产,技术,语言和资源。 259 使用硬编码密码
hasmember 班级班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。 287 身份验证不当
hasmember 根据基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。 288 使用替代路径或通道的身份验证旁路
hasmember 根据基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。 290 通过欺骗的身份验证旁路
hasmember 根据基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。 294 通过捕获重新播放的身份验证旁路
hasmember 根据基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。 295 证书验证不当
hasmember 变体变体 - 与某种类型的产品相关的弱点,通常涉及特定的语言或技术。比基本弱点更具体。变体级别的弱点通常以以下维度的3到5来描述问题:行为,财产,技术,语言和资源。 297 与主机不匹配的证书验证不当
hasmember 班级班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。 300 通过非端点访问的频道
hasmember 根据基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。 302 通过假设可免疫数据的身份验证旁路
hasmember 根据基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。 304 缺少身份验证的关键步骤
hasmember 根据基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。 306 缺少关键功能的身份验证
hasmember 根据基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。 307 不当限制过度身份验证尝试
hasmember 班级班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。 346 原点验证错误
hasmember 合成的复合材料 - 一个由两个或更多不同的弱点组成的复合元素,其中所有弱点必须同时存在,以便出现潜在的脆弱性。消除任何弱点都消除或大幅降低了风险。一个弱点x可以被“分解”成y和z的组分弱点。在某些情况下,一个弱点对于复合材料可能不是必不可少的,但是当复合材料变成脆弱性时,它会改变其性质。 384 会话固定
hasmember 根据基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。 521 密码要求弱
hasmember 根据基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。 613 会话到期不足
hasmember 根据基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。 620 未验证的密码更改
hasmember 根据基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。 640 弱密码恢复机制被遗忘的密码
hasmember 根据基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。 798 使用硬编码凭证
hasmember 根据基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。 940 通信渠道来源的不当验证
hasmember 类别类别 - 包含共享共同特征的其他条目的CWE条目。 1216 锁定机制错误
+笔记

维护

从CWE 4.6开始,该类别的关系直接从2021 OWASP前十名中引用的CWE映射中得出。这些映射包括用于映射的类别以及高级弱点。CWE程序将与OWASP合作以改进这些映射,可能需要修改CWE本身。
+参考
[Ref -1213]“ A07:2021-识别和身份验证失败”。Owasp。2021-09-24。<https://owasp.org/top10/a07_2021-isentification_and_authentication_failures/>。
[Ref-12206]“ OWASP顶部10:2021”。Owasp。2021-09-24。<https://owasp.org/top10/>。
+内容历史记录
+提交
提交日期 提交者 组织
2021-10-05 CWE内容团队 MITER
+修改
修改日期 修饰符 组织
2022-10-13 CWE内容团队 MITER
更新的引用
提供更多信息 - 请选择其他过滤器。
页面最后更新:2023年1月31日

使用共同弱点枚举(CWE)和本网站的相关参考使用条款。CWE由美国国土安全部(DHS)网络安全和基础设施安全局(CISA),由国土安全系统工程和开发研究所(HSSEDI)由manbetx客户端首页(MITER)。版权所有©2006–2023,Miter Comanbetx客户端首页rporation。CWE,CWSS,CWRAF和CWE徽标是Miter Corporation的商标。manbetx客户端首页