cwe - 257:存储密码恢复的格式
视图定制的信息:
存储密码的可恢复的格式让他们受到恶意用户密码重用攻击。事实上,应该注意的是,可恢复加密密码提供无显著好处在明文密码,因为他们不仅受到重用通过恶意攻击者还恶意的内部人员。如果一个系统管理员可以直接恢复密码,或者使用蛮力搜索可用的信息,管理员可以使用其他账户的密码。
![]() ![]()
![]() ![]()
![]() ![]()
![]()
![]() 语言 类:不是特定于语言的患病率(待定) ![]()
示例1 通过比较这两个例子验证密码存储压缩版本。
(坏的代码)
例如语言:C
int VerifyAdmin (char *密码){
如果比较字符串(压缩(密码)、compressed_password)) { }
printf("口令不正确! \ n "); }返回(0); printf("进入诊断模式…\ n”); 返回(1);
(坏的代码)
例如语言:Java
int VerifyAdmin(字符串密码){
如果(passwd.Equals(压缩(密码)、compressed_password)) { }
返回(0); }/ /诊断模式 返回(1); 因为压缩算法而不是单向散列算法,攻击者可以恢复压缩密码存储在数据库中。 示例2 下面的例子展示的部分属性和配置文件为Java和ASP。网络应用程序。文件包含用户名和密码信息,但他们在明文存储。 这个Java示例显示了一个属性文件明文用户名/密码对。
(坏的代码)
例如语言:Java
# Java Web应用程序ResourceBundle属性文件 … webapp.ldap.username = secretUsername webapp.ldap.password = secretPassword … 下面的例子展示了一个配置文件的一部分ASP。网络应用程序。这个配置文件包含连接到数据库的用户名和密码信息,但对存储在明文。
(坏的代码)
例如语言:ASP.NET
…
< connectionStrings >
<添加名称= connectionString =“ud_DEV connectDB = uDB;uid = db2admin;pwd =密码;dbalias = uDB; System.Data providerName =。Odbc " / > < / connectionStrings >… 用户名和密码信息不应包括在一个配置文件或一个属性文件明文这将允许任何人可以读取文件访问资源。如果可能的话,这个信息加密。 ![]()
更多的信息是可用的,请选择一个不同的过滤器。
|
使用常见的弱点枚举(CWE)和相关的引用从这个网站的使用条款。CWE赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2006 - 2023,斜方公司。manbetx客户端首页CWE、水煤浆、CWRAF, CWE标志是斜方公司的商标。manbetx客户端首页 |