 描述
产品不执行任何身份验证功能,需要一个可证明的用户标识或消耗了大量的资源。
扩展描述
数据迁移到云中,如果访问不需要身份验证,它可以攻击者更容易从任何地方访问数据在互联网上。
的关系
 此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关观点“软件开发”(cwe - 699)
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
 类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1211年 |
身份验证错误 |
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
 简化映射的相关视图”缺点漏洞发布”(cwe - 1003)
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。 |
287年 |
不适当的身份验证 |
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关视图”架构概念”(cwe - 1008)
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1010年 |
验证的演员 |
模式的介绍
不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
| 阶段 |
请注意 |
| 架构和设计 |
遗漏:这个弱点是由于缺少一个安全策略在体系结构和设计阶段。 |
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
访问控制
其他
|
将重要的功能本质上提供了一个攻击者的特权级别的功能。结果将取决于相关的功能,但他们可以从阅读或修改敏感数据,获得行政或其他特权功能,甚至执行任意代码。 |
|
利用的可能性
示范例子
示例1
在以下Java示例方法createBankAccount创建一个BankAccount对象用于银行管理应用程序。
accountType accountNumber公共BankAccount createBankAccount(字符串,字符串, 帐号名称的字符串,字符串accountSSN、双平衡){
BankAccount帐户= new BankAccount ();
account.setAccountNumber (accountNumber);
account.setAccountType (accountType);
account.setAccountOwnerName(帐号名称);
account.setAccountOwnerSSN (accountSSN);
account.setBalance(平衡);
返回账户;
}
然而,没有身份验证机制来确保用户创建这个银行账户对象有权创建新银行账户。一些身份验证机制应该用于验证用户的权限创建银行帐户对象。
下面的Java代码包含一个布尔变量和方法对一个用户进行身份验证。如果用户尚未验证然后createBankAccount不会创建银行帐户对象。
私人布尔isUserAuthentic = false;
/ /验证用户,
/ /如果用户身份验证,那么设置变量为true
/ /否则变量设置为false
公共布尔authenticateUser(用户名的字符串,字符串密码){
… }
accountType accountNumber公共BankAccount createNewBankAccount(字符串,字符串, 帐号名称的字符串,字符串accountSSN、双平衡){
BankAccount帐户=零;
如果(isUserAuthentic) {
账户= new BankAccount ();
account.setAccountNumber (accountNumber);
account.setAccountType (accountType);
account.setAccountOwnerName(帐号名称);
account.setAccountOwnerSSN (accountSSN);
account.setBalance(平衡); } 返回账户; }
示例2
2022年,OT:冰崩研究调查了10个不同的操作技术(OT)供应商的产品。研究人员报道,56个漏洞,说产品是“不安全的设计”(ref - 1283]。如果这些漏洞利用,往往让对手改变产品运营,从拒绝服务改变产品执行的代码。因为这些产品经常被应用于行业,如电力、电气、水,和其他人,甚至会出现安全问题。
多个供应商没有使用任何身份验证关键功能的产品。
示例3
2021年,一个网站由PeopleGIS存储数据我们市在亚马逊网络服务(AWS)简单存储服务(S3)桶。
虽然没有公开披露的数据是如何保护后发现,多种选择可以考虑。
敏感信息可能已经被确保保护桶没有公共读访问,例如,通过启用s3-account-level-public-access-blocks-periodic规则阻止公共访问。此外,数据可能是加密静止S3使用适当的设置,例如,通过启用服务器端加密使用s3-bucket-server-side-encryption-enabled设置。其他设置可以进一步防止桶数据泄露。( ref - 1297]
观察到的例子
| 参考 |
描述 |
|
|
基于tcp协议在可编程逻辑控制器(PLC)没有认证。 |
|
|
状态监控固件使用协议,不需要身份验证。 |
|
|
SCADA-based协议连接广域网和局域网流量没有认证。 |
|
|
安全检测系统使用专有TCP协议没有认证。 |
|
|
分布式控制系统(DCS)使用一种协议,没有身份验证。 |
|
|
链:云计算虚拟化平台不需要身份验证上传的tar格式文件( cwe - 306),然后使用. .路径遍历序列( CWE-23)在文件访问意想不到的文件,如利用每中钢协KEV在野外。 |
|
|
管理产品不执行身份验证一些REST API请求,每中钢协KEV利用在野外。 |
|
|
默认设置在工作流管理产品允许所有API请求不需要身份验证,每中钢协KEV利用在野外。 |
|
|
MFV。访问TFTP服务器没有身份验证和敏感的明文信息获取配置文件。 |
|
|
代理软件运行在特权不验证传入的请求在一个不受保护的通道,允许粉碎”攻击。 |
|
|
产品实施限制通过GUI而不是特权api。 |
|
|
监控设备允许访问物理UART调试端口没有认证 |
|
|
可编程序逻辑控制器(PLC)在其通信协议没有身份验证功能。 |
潜在的缓解措施
阶段:体系结构和设计
将软件划分为匿名的,正常的,特权和行政区域。确定哪些领域需要验证用户身份,并使用一个集中的身份验证功能。
识别所有潜在的沟通渠道,或其他的与软件的交互手段,确保所有通道是适当的保护。开发人员有时执行身份验证的主要渠道,但打开一个二级频道,被认为是私有的。例如,登录机制可能是监听一个网络端口,但成功的身份验证之后,它可能会打开一个端口,等待连接,但避免了身份验证,因为它假定只有经过身份验证的党将连接到端口。
一般来说,如果软件或协议允许单个会话或用户状态持续多个连接或渠道,需要使用身份验证和适当的凭证管理。
|
阶段:体系结构和设计
对于任何一个在客户端执行安全检查,确保这些检查复制在服务器端,为了避免 cwe - 602。攻击者可以绕过客户端检查通过修改值后,检查执行,或通过改变客户端完全删除客户端检查。然后,这些修改的值将被提交到服务器。 |
阶段:体系结构和设计
在可能的情况下,避免实施定制的身份验证例程和考虑使用身份验证周边框架提供的功能,操作系统,或环境。这些可能更容易提供一个清晰的分离验证任务和授权的任务。
在万维网等环境中,身份验证和授权的界限有时是模糊的。如果需要自定义的身份验证例程,而不是那些提供的服务器,那么这些例程必须适用于每一个页面,因为这些页面可以直接要求。
|
阶段:体系结构和设计
使用审查库或框架不允许这个弱点发生或提供了结构,使这个弱点更容易避免的。
例如,考虑使用与身份验证功能,如OpenSSL库或ESAPI身份( REF-45]。 |
阶段:实施;系统配置;操作
|
检测方法
手动分析
这个弱点可以检测使用的工具和技术,需要手动(人类)的分析,如渗透测试、威胁建模和交互工具,允许测试人员记录和修改一个活跃的会话。
具体来说,手工静态分析有助于评估自定义身份验证机制的正确性。
注意:这些可能是更有效的比严格的自动化技术。尤其如此弱点设计和相关的业务规则。 |
自动静态分析
自动静态分析是有用的检测常用的习语进行身份验证。一个工具可以分析相关的配置文件,比如. htaccess在Apache web服务器中,或检测常用的验证库的使用。
一般来说,自动静态分析工具很难检测自定义的身份验证方案。此外,软件的设计可能包括一些功能,任何用户都可以访问,不需要一个确定的身份;自动化技术,检测没有身份验证可能报告假阳性。
|
人工静态分析——二进制或字节码
根据飙升,以下检测技术可能是有用的:
|
动态分析与自动化的结果解释
根据飙升,以下检测技术可能是有用的:
-
Web应用程序扫描
-
Web服务的扫描仪
-
数据库扫描仪
|
动态分析与人工解释结果
根据飙升,以下检测技术可能是有用的:
-
扫描仪主机应用程序接口
-
模糊测试
-
基于框架Fuzzer
|
人工静态分析源代码
根据飙升,以下检测技术可能是有用的:
-
关注人工抽查,手动分析来源
-
手工源代码审查(不检查)
|
自动静态分析源代码
根据飙升,以下检测技术可能是有用的:
-
源代码缺陷分析仪
-
Context-configured源代码分析器
|
体系结构或设计审查
根据飙升,以下检测技术可能是有用的:
|
会员资格
这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
803年 |
2010年前25 -多孔防御 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
812年 |
OWASP十大2010类别A3 -破碎的认证和会话管理 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
866年 |
2011年前25 -多孔防御 |
| MemberOf |
 视图——CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。 |
884年 |
CWE横截面 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
952年 |
SFP二级集群:失踪的身份验证 |
| MemberOf |
视图——CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。 |
1337年 |
2021 CWE最危险软件的弱点的弱点 |
| MemberOf |
视图——CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。 |
1350年 |
2020 CWE最危险软件的弱点的弱点 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1353年 |
OWASP十大2021类别A07:2021 -识别和身份验证失败 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1364年 |
ICS通讯:区域边界的失败 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1365年 |
ICS通讯:不可靠 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1366年 |
ICS通讯:脆弱的安全协议 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1368年 |
ICS依赖性(&架构):外部数字系统 |
| MemberOf |
视图——CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。 |
1387年 |
2022 CWE最危险软件的弱点的弱点 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1396年 |
综合分类:访问控制 |
| MemberOf |
视图——CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。 |
1425年 |
2023 CWE最危险软件的弱点的弱点 |
脆弱性映射笔记
用法:允许
(CWE ID可以用来映射到现实世界的漏洞) |
原因:可接受的使用 |
理由是: 这CWE条目底部的抽象级别,这是一个首选的抽象级别映射到漏洞的根本原因。 |
评论: 仔细阅读这两个名称和描述,以确保此映射是一个适当的配合。不要试图“力”映射到底层基础/变体只是遵守这首选的抽象级别。 |
分类法映射
| 映射分类名称 |
节点ID |
适合 |
映射节点名 |
| 千鸟 |
|
|
没有认证的重要功能 |
| 软件故障模式 |
SFP31 |
|
缺少认证 |
| ISA / IEC 62443 |
4 - 2部分 |
|
点播CR 1.1 |
| ISA / IEC 62443 |
4 - 2部分 |
|
点播CR 1.2 |
| ISA / IEC 62443 |
4 - 2部分 |
|
点播CR 2.1 |
| ISA / IEC 62443 |
4 - 1部分 |
|
点播SR-2 |
| ISA / IEC 62443 |
4 - 1部分 |
|
点播SVV-3 |
引用
|
(ref - 62)马克·多德约翰麦克唐纳和贾斯汀Schuh。“软件安全评估的艺术”。第二章,“常见的漏洞验证”,36页。1版。艾迪生卫斯理》2006。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
2006-07-19
(CWE草案3,2006-07-19) |
千鸟 |
|
|
| 贡献 |
| 贡献的日期 |
贡献者 |
组织 |
| 2023-04-25 |
“映射CWE 62443”子组 |
CWE -CAPEC ICS /团体 |
| 建议映射ISA / IEC 62443。 |
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2008-07-01 |
Eric Dalci |
Cigital |
| 更新Time_of_Introduction |
| 2008-09-08 |
CWE内容团队 |
主教法冠 |
| 更新的关系,Relationship_Notes Taxonomy_Mappings |
| 2010-02-16 |
CWE内容团队 |
主教法冠 |
| 更新Applicable_Platforms、Common_Consequences Demonstrative_Examples、Detection_Factors Likelihood_of_Exploit,名字,Observed_Examples, Potential_Mitigations,引用,Related_Attack_Patterns、人际关系 |
| 2010-06-21 |
CWE内容团队 |
主教法冠 |
| 更新Common_Consequences Potential_Mitigations,引用 |
| 2011-06-01 |
CWE内容团队 |
主教法冠 |
| 更新Common_Consequences |
| 2011-06-27 |
CWE内容团队 |
主教法冠 |
| 更新的关系 |
| 2011-09-13 |
CWE内容团队 |
主教法冠 |
| 更新Potential_Mitigations、引用关系 |
| 2012-05-11 |
CWE内容团队 |
主教法冠 |
| 更新Potential_Mitigations、人际关系 |
| 2012-10-30 |
CWE内容团队 |
主教法冠 |
| 更新Potential_Mitigations |
| 2014-07-30 |
CWE内容团队 |
主教法冠 |
| 更新Detection_Factors、关系、Taxonomy_Mappings |
| 2015-12-07 |
CWE内容团队 |
主教法冠 |
| 更新的关系 |
| 2017-11-08 |
CWE内容团队 |
主教法冠 |
| 更新Likelihood_of_Exploit Modes_of_Introduction、引用关系 |
| 2019-01-03 |
CWE内容团队 |
主教法冠 |
| 更新Related_Attack_Patterns |
| 2019-06-20 |
CWE内容团队 |
主教法冠 |
| 更新Related_Attack_Patterns、类型 |
| 2020-02-24 |
CWE内容团队 |
主教法冠 |
| 更新的关系 |
| 2020-08-20 |
CWE内容团队 |
主教法冠 |
| 更新的关系 |
| 2021-07-20 |
CWE内容团队 |
主教法冠 |
| 更新Observed_Examples、人际关系 |
| 2021-10-28 |
CWE内容团队 |
主教法冠 |
| 更新的关系 |
| 2022-06-28 |
CWE内容团队 |
主教法冠 |
| 更新Observed_Examples、人际关系 |
| 2022-10-13 |
CWE内容团队 |
主教法冠 |
| 更新Applicable_Platforms Demonstrative_Examples,描述、Observed_Examples Potential_Mitigations,引用,Relationship_Notes、人际关系 |
| 2023-01-31 |
CWE内容团队 |
主教法冠 |
| 更新Related_Attack_Patterns、人际关系 |
| 2023-04-27 |
CWE内容团队 |
主教法冠 |
| 更新引用关系,Taxonomy_Mappings |
| 2023-06-29 |
CWE内容团队 |
主教法冠 |
| 更新Mapping_Notes、人际关系 |
| 以前的条目名称 |
| 改变日期 |
以前的条目名称 |
| 2010-02-16 |
没有认证的重要功能 |
|
更多的信息是可用的,请编辑自定义过滤器或选择一个不同的过滤器。
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
简化映射的相关视图”缺点漏洞发布”(cwe - 1003)
