CWE- CWE-204: Observable Response Discrepancy (4.10)

弱点ID：204

抽象：Base
结构：简单的

View customized information:

Description

The product provides different responses to incoming requests in a way that reveals internal state information to an unauthorized actor outside of the intended control sphere.

Extended Description

此问题经常发生在身份验证期间，其中失败的login消息的差异可以允许攻击者确定用户名是否有效。这些暴露可能是无意的（错误）或故意的（设计）。

关系

该表显示了与该弱点相关的弱点和高级类别。这些关系定义为childof，parentof，ementof，并深入了解可能存在于较高和较低抽象水平的类似项目。此外，定义了诸如Peerof和Canalsobe之类的关系，以显示用户可能想要探索的类似弱点。

Relevant to the view "Research Concepts" (CWE-1000)

自然	Type	ID	姓名
Childof	基础 - 仍然主要独立于资源或技术的弱点，但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题：行为，财产，技术，语言和资源。	203	Observable Discrepancy

Relevant to the view "Software Development" (CWE-699)

自然	Type	ID	姓名
MemberOf	Category - a CWE entry that contains a set of other entries that share a common characteristic.	199	信息管理错误

介绍模式

引言的不同模式提供了有关如何以及何时引入这种弱点的信息。该阶段识别可能发生介绍的生命周期中的一个点，而音符提供了与给定阶段中引言有关的典型情况。

Phase	笔记
Architecture and Design
Implementation

适用的平台

该清单显示了可能出现的弱点的可能区域。这些可能适用于特定的命名语言，操作系统，体系结构，范式，技术或一类此类平台。该平台与给定弱点出现在该实例的频率一起列出。

语言

Class: Not Language-Specific（不确定的患病率）

常见后果

该表指定与弱点相关的不同个人后果。该范围确定了违反的应用程序安全区域，而影响描述了如果对手成功利用这一弱点，就会产生负面的技术影响。其可能性提供了有关预期相对于列表中其他后果的特定后果的可能性的信息。例如，可能会利用弱点来实现一定的影响，但很可能会利用它来实现不同的影响。

Scope	Impact	可能性
保密 Access Control	技术影响：Read Application Data; Bypass Protection Mechanism

Demonstrative Examples

Example 1

以下代码检查提供的用户名和密码的有效性，并通知用户成功或失败的登录。

(bad code)

Example Language:Perl

我的$ username = param（'用户名'）;
my $password=param('password');

if (IsValidUsername($username) == 1)
{

if (IsValidPassword($username, $password) == 1)
{

打印“登录成功”；

}
else
{

打印“登录失败 - 不正确密码”；

}

}
else
{

打印“登录失败 - 未知用户名”；

}

在上面的代码中，提供了不同的消息，何时提供了不正确的用户名，而不是用户名是正确的，但密码是错误的。此差异使潜在的攻击者能够理解登录功能的状态，并可以通过尝试不同的值直到返回不正确的密码消息来发现有效的用户名。本质上，这使攻击者更容易获得必要的身份验证凭证的一半。

尽管这种类型的信息可能对用户有帮助，但对潜在攻击者也很有用。在上面的示例中，两个失败情况的消息应相同，例如：

（结果）

"Login Failed - incorrect username or password"

观察到的例子

Reference	Description
CVE-2002-2094	This, and others, use ".." attacks and monitor error responses, so there is overlap with directory traversal.
CVE-2001-1483	Enumeration of valid usernames based on inconsistent responses
CVE-2001-1528	通过不一致的响应列举帐号。
CVE-2004-2150	User enumeration via discrepancies in error messages.
CVE-2005-1650	User enumeration via discrepancies in error messages.
CVE-2004-0294	Bulletin Board displays different error messages when a user exists or not, which makes it easier for remote attackers to identify valid users and conduct a brute force password guessing attack.
CVE-2004-0243	Operating System, when direct remote login is disabled, displays a different message if the password is correct, which allows remote attackers to guess the password via brute force methods.
CVE-2002-0514	Product allows remote attackers to determine if a port is being filtered because the response packet TTL is different than the default TTL.
CVE-2002-0515	当端口被过滤时，产品与未过滤时设置了不同的TTL，这使远程攻击者可以通过比较TTL来识别过滤后的端口。
CVE-2001-1387	Product may generate different responses than specified by the administrator, possibly leading to an information leak.
CVE-2004-0778	版本控制系统允许远程攻击者通过-X命令确定任意文件和目录的存在，以返回其他错误消息。
CVE-2004-1428	FTP server generates an error message if the user name does not exist instead of prompting for a password, which allows remote attackers to determine valid usernames.

Potential Mitigations

阶段：建筑和设计

策略：特权分离

将系统划分为具有“安全”的区域，在这些区域中可以明确地绘制信任边界。请勿让敏感的数据超出信任边界，并在与安全区域外的隔间接口时始终小心。

确保在系统设计中内置适当的隔室化，并允许隔室化允许并增强特权分离功能。建筑师和设计师应依靠至少特权的原则来决定使用特权和丢弃特权的适当时间。

Phase: Implementation

Ensure that error messages only contain minimal details that are useful to the intended audience and no one else. The messages need to strike the balance between being too cryptic (which can confuse users) or being too detailed (which may reveal more than intended). The messages should not reveal the methods that were used to determine the error. Attackers can use detailed information to refine or optimize their original attack, thereby increasing their chances of success.

If errors must be captured in some detail, record them in log messages, but consider what could occur if the log messages can be viewed by attackers. Highly sensitive information such as passwords should never be saved to log files.

避免不一致的消息传递可能会意外地将攻击者提示有关内部状态，例如用户帐户是否存在。

Memberships

This MemberOf Relationships table shows additional CWE Categories and Views that reference this weakness as a member. This information is often useful in understanding where a weakness fits within the context of external information sources.

自然	Type	ID	姓名
MemberOf	Category - a CWE entry that contains a set of other entries that share a common characteristic.	967	SFP次要集群：国家披露

笔记s

关系

可以重叠与升级特权有关的错误

Taxonomy Mappings

映射的分类名称	Node ID	合身	Mapped Node Name
plover			响应差异信息

Common Weakness Enumeration

CWE-204：可观察的响应差异


	Site Map\|使用条款\|Privacy Policy\|联系我们\| Use of the Common Weakness Enumeration (CWE) and the associated references from this website are subject to the使用条款. CWE is sponsored by theU.S. Department of Homeland Security(DHS)网络安全和基础设施安全局（CISA），由Homeland Security Systems Engineering and Development Institute（HSSEDI）由manbetx客户端首页(MITRE). Copyright © 2006–2023, The MITRE Corporation. CWE, CWSS, CWRAF, and the CWE logo are trademarks of The MITRE Corporation.