 总结
这一类的弱点有关数据机密性和完整性的设计和实现。经常这些处理编码的使用技术,加密库和散列算法。这个类别中的弱点可能导致退化的质量数据如果不解决。
会员
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
 视图——CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。 |
635年 |
最初使用的弱点NVD从2008年到2016年 |
| MemberOf |
视图——CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。 |
699年 |
软件开发 |
| MemberOf |
 类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1346年 |
OWASP十大2021类别A02:2021 -密码失败 |
| HasMember |
 Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
261年 |
弱密码编码 |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
324年 |
使用一个关键过去的保质期 |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
325年 |
丢失的密码步骤 |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
328年 |
使用弱散列 |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
331年 |
熵不足 |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
334年 |
小空间的随机值 |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
335年 |
不正确的使用伪随机数生成器的种子(PRNG) |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
338年 |
使用密码地弱伪随机数生成器(PRNG) |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
347年 |
不当验证加密的签名 |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
916年 |
使用的密码哈希计算努力不足 |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
1240年 |
使用加密的原始风险实现 |
笔记
映射
使用映射:禁止(CWE ID不能用来映射到现实世界的漏洞)。
理由是:该条目是一个类别。使用类别映射一直是积极鼓励实践至少自2019年以来。类别是非正式组织分组CWE的弱点,帮助导航和浏览用户,但他们不是自己的弱点(ref - 1287]。这个CWE ID可能已经广泛使用,因为NIST的用法在NVD从2008年到2016年cwe - 635看来,更新的cwe - 10032016年视图)。
评论:一些weakness-oriented替代品可能发现损坏或危险的后代在使用加密算法(cwe - 327)
引用
|
总结
