 描述
明文的产品传递重要敏感或安全数据通信通道,可以嗅未经授权的演员。
扩展描述
许多沟通渠道可以“嗅”在数据传输(监控)的敌人。例如,在网络,数据包可以遍历许多中介节点从源到目的地,是否在互联网上,一个内部网络,云,等。有些演员可能特权访问网络接口或任何链接通道,如路由器,但他们可能不会被授权收集基础数据。因此,网络流量可以嗅的敌人,强调安全的数据。
适用的沟通渠道并不局限于软件产品。适用的渠道包括特定于硬件的技术,如内部硬件网络和外部调试渠道,支持远程JTAG调试。当移植不应用于产品的威胁模型中战斗的对手,这个弱点大大降低开发的难度,这样的对手。
完整的通讯记录或记录时,如包转储,敌人可能试图获取转储长传输发生后,尝试“嗅嗅”明文从垃圾堆里的通讯记录本身。即使信息编码的方式不是人类可读的,使用某些技术可以确定哪些编码,然后解码的信息。
的关系
 此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关观点“软件开发”(cwe - 699)
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
 类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
199年 |
信息管理错误 |
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关观点“硬件设计”(cwe - 1194)
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1207年 |
调试和测试问题 |
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
 简化映射的相关视图”缺点漏洞发布”(cwe - 1003)
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。 |
311年 |
失踪的敏感数据的加密 |
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关视图”架构概念”(cwe - 1008)
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1013年 |
加密数据 |
模式的介绍
不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
| 阶段 |
请注意 |
| 架构和设计 |
遗漏:这个弱点是由于缺少一个安全策略在体系结构和设计阶段。 |
| 架构和设计 |
的硬件,这可能是当设计不计划攻击者有物理访问在一个合法的用户远程操作装置。 |
| 操作 |
|
| 系统配置 |
|
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
完整性
保密
|
任何人都可以阅读该信息获取通道用于通信。 |
|
利用的可能性
示范例子
示例1
下面的代码试图建立一个连接一个网站敏感信息交流。
尝试{
URL u =新的URL (“http://www.secret.example.org/”);
HttpURLConnection胡= (HttpURLConnection) u.openConnection ();
hu.setRequestMethod (“”);
hu.connect ();
OutputStream os = hu.getOutputStream ();
hu.disconnect (); } 抓住(IOException e) {
/ /……
}
虽然连接成功建立后,未加密的连接,可能是所有敏感数据发送或接收从服务器将读到意想不到的演员。
示例2
2022年,OT:冰崩研究调查了10个不同的操作技术(OT)供应商的产品。研究人员报道,56个漏洞,说产品是“不安全的设计”(ref - 1283]。如果这些漏洞利用,往往让对手改变产品运营,从拒绝服务改变产品执行的代码。因为这些产品经常被应用于行业,如电力、电气、水,和其他人,甚至会出现安全问题。
多个供应商使用明文传输的敏感信息的产品。
示例3
点击访问的寄存器读/写的一个基于JTAG的工具,通过授权用户供内部使用。然而,敌人可以连接一个探测装置和收集的值未加密通道JTAG接口连接到授权用户,如果没有额外的保护工作。
示例4
以下Azure CLI命令列出了一个特定的属性存储账户:
JSON结果可能是:
{
“名称”:“{StorageAccountName}”,
“enableHttpsTrafficOnly”:假的,
“类型”:“Microsoft.Storage / storageAccounts”
}
enableHttpsTrafficOnly值设置为false,因为默认设置安全传输设置为禁用。这使得云存储资源成功地连接和传输数据,而无需使用加密(例如,HTTP, SMB 2.1, 3.0 SMB,等等)。
Azure存储账户可以配置为只接受来自安全连接的请求在HTTPS。安全传输设置可以启用以编程方式使用Azure门户(GUI)或通过设置存储账户enableHttpsTrafficOnly属性为True,如:
阿兹存储账户更新- g {ResourceGroupName} - n {StorageAccountName}, https真的
这种变化可以从结果通过验证,证实enableHttpsTrafficOnly价值是正确的:
{
“名称”:“{StorageAccountName}”,
“enableHttpsTrafficOnly”:没错,
“类型”:“Microsoft.Storage / storageAccounts”
}
注意:启用安全转移使用Azure的门户而不是命令行:
- 1。打开创建存储帐户窗格在Azure门户。
- 2。在先进的页面,选择复选框启用安全转移。
观察到的例子
| 参考 |
描述 |
|
|
可编程序逻辑控制器(PLC)在明文发送敏感信息,包括密码和会话令牌。 |
|
|
构建控制器使用协议明文传递身份验证凭证。 |
|
|
可编程序逻辑控制器(PLC)在明文发送密码。 |
|
|
密码以明文传输图像。 |
|
|
链:使用HTTPS饼干没有“安全”国旗导致它在未加密的HTTP传输。 |
|
|
产品在明文发送密码散列违反政策。 |
|
|
远程管理功能发送敏感信息包括在明文密码。 |
|
|
备份程序发送密码明文的电子邮件。 |
|
|
产品传送河豚在明文加密密钥。 |
|
|
打印机发送配置信息,包括管理密码明文。 |
|
|
|
|
|
产品会以明文发送密码到日志服务器。 |
|
|
产品使用明文密码发送文件在邮件中用于诊断目的。 |
潜在的缓解措施
阶段:体系结构和设计
使用可靠的加密数据传输之前,confidentiality-protecting加密协议。 |
实施阶段:
使用与SSL web应用程序时,使用SSL整个会话登录,注销,不仅对初始登录页面。 |
实施阶段:
在设计硬件平台时,确保通过加密算法(比如NIST)推荐的保护路径从安全关键数据可信用户应用程序。 |
测试阶段:
使用工具和技术,需要手动(人类)的分析,如渗透测试、威胁建模和交互工具,允许测试人员记录和修改一个活跃的会话。这些可能是更有效的比严格的自动化技术。尤其如此弱点设计和相关的业务规则。 |
阶段:操作
将服务器配置为使用加密的通信渠道,其中可能包括SSL或其他安全协议。 |
检测方法
黑盒
使用监控工具,检查软件的流程与操作系统交互和网络。这种技术的情况很有用的源代码不可用,如果软件并不是由你,或者如果你想验证构建阶段并没有引入任何新的弱点。例子包括调试器直接附加到正在运行的进程;系统调用跟踪实用程序,如桁架(Solaris)和strace (Linux);系统活动监视器如FileMon、RegMon、过程监控、和其他的Sysinternals工具(Windows);嗅探器和协议分析,监控网络流量。
把监控过程中,触发功能,发送数据,并寻找常见的加密函数的存在与否在调用树。监控网络和确定数据包包含可读命令。工具检测是否在使用特定的编码。如果交通包含高熵,这可能表明使用加密。
|
自动静态分析
自动静态分析,通常被称为静态应用程序安全性测试(科协),可以找到一些实例的这个弱点分析源代码或二进制/编译后的代码,而不必执行它。通常情况下,这是通过建立一个模型的数据流和控制流,然后寻找潜在攻击模式,连接“源”与“下沉”(输入)的起源(目的地数据与外部组件交互,较低的层,如操作系统,等等)。
|
会员资格
这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
751年 |
2009年前25 -安全组件之间的交互 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
818年 |
OWASP 2010年十大类别A9,传输层保护不足 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
858年 |
CERT甲骨文安全Java编码标准(2011)第十五章-序列化(SER) |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
859年 |
CERT甲骨文安全Java编码标准(2011)第十六章-平台安全(SEC) |
| MemberOf |
 视图——CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。 |
884年 |
CWE横截面 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
934年 |
OWASP十大2013类别A6 -暴露敏感数据 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
963年 |
SFP二级集群:公开数据 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1029年 |
OWASP十大2017类别A3 -暴露敏感数据 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1148年 |
SEI CERT甲骨文Java安全编码标准,准则14。序列化(SER) |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1346年 |
OWASP十大2021类别A02:2021 -密码失败 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1366年 |
ICS通讯:脆弱的安全协议 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1402年 |
综合分类:加密 |
脆弱性映射笔记
用法:允许
(CWE ID可以用来映射到现实世界的漏洞) |
原因:可接受的使用 |
理由是: 这CWE条目底部的抽象级别,这是一个首选的抽象级别映射到漏洞的根本原因。 |
评论: 仔细阅读这两个名称和描述,以确保此映射是一个适当的配合。不要试图“力”映射到底层基础/变体只是遵守这首选的抽象级别。 |
笔记
维护
Taxonomy_Mappings ISA / IEC 62443 CWE 4.10中加入了,但他们仍在审查和将来可能会改变CWE版本。这些映射草案是由“CWE映射到62443”小组的成员 CWE -CAPEC ICS / OT特殊利益集团(团体),CWE 4.10的和他们的工作是不完整的。映射是包括促进讨论和审查由更广泛的ICS / OT的社区,他们可能会改变在未来CWE版本。
分类法映射
| 映射分类名称 |
节点ID |
适合 |
映射节点名 |
| 千鸟 |
|
|
明文传输的敏感信息 |
| CERT甲骨文安全Java编码标准(2011) |
SEC06-J |
|
不依赖于默认提供的自动签名验证URLClassLoader java.util.jar |
| CERT甲骨文安全Java编码标准(2011) |
SER02-J |
|
签署然后密封敏感对象在发送之前他们信任边界外 |
| 软件故障模式 |
SFP23 |
|
公开的数据 |
| ISA / IEC 62443 |
3 - 3部分 |
|
4.1要求老 |
| ISA / IEC 62443 |
4 - 2部分 |
|
点播CR 4.1 b |
引用
|
|
|
|
|
迈克尔•霍华德(REF-44)大卫·勒布朗和Viega约翰。软件安全的“24宗罪”。“罪22:未能保护网络流量。”Page 337. McGraw-Hill. 2010. |
|
|
|
|
|
|
|
|
内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
2006-07-19
(CWE草案3,2006-07-19) |
千鸟 |
|
|
| 贡献 |
| 贡献的日期 |
贡献者 |
组织 |
| 2023-01-24 |
Accellera IP安全保证(IPSA)工作小组 |
Accellera系统计划 |
| 提交的原始内容cwe - 1324并审查其融入这个条目。 |
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2008-07-01 |
Eric Dalci |
Cigital |
| 更新Time_of_Introduction |
| 2008-09-08 |
CWE内容团队 |
主教法冠 |
| 更新的关系,Taxonomy_Mappings |
| 2009-01-12 |
CWE内容团队 |
主教法冠 |
| 更新Common_Consequences、描述Likelihood_of_Exploit、名称、Observed_Examples Potential_Mitigations,引用关系 |
| 2009-03-10 |
CWE内容团队 |
主教法冠 |
| 更新Potential_Mitigations |
| 2009-05-27 |
CWE内容团队 |
主教法冠 |
| 更新Related_Attack_Patterns |
| 2010-02-16 |
CWE内容团队 |
主教法冠 |
| 更新的引用 |
| 2010-04-05 |
CWE内容团队 |
主教法冠 |
| 更新Applicable_Platforms、Common_Consequences Time_of_Introduction |
| 2010-06-21 |
CWE内容团队 |
主教法冠 |
| 更新Detection_Factors、人际关系 |
| 2010-12-13 |
CWE内容团队 |
主教法冠 |
| 更新Observed_Examples Related_Attack_Patterns |
| 2011-03-29 |
CWE内容团队 |
主教法冠 |
| 更新Potential_Mitigations |
| 2011-06-01 |
CWE内容团队 |
主教法冠 |
| 更新Common_Consequences、关系、Taxonomy_Mappings |
| 2012-05-11 |
CWE内容团队 |
主教法冠 |
| 更新Demonstrative_Examples、引用关系,Taxonomy_Mappings Related_Attack_Patterns |
| 2013-02-21 |
CWE内容团队 |
主教法冠 |
| 更新Applicable_Platforms,引用 |
| 2013-07-17 |
CWE内容团队 |
主教法冠 |
| 更新的关系 |
| 2014-02-18 |
CWE内容团队 |
主教法冠 |
| 更新Related_Attack_Patterns |
| 2014-06-23 |
CWE内容团队 |
主教法冠 |
| 更新的关系 |
| 2014-07-30 |
CWE内容团队 |
主教法冠 |
| 更新的关系,Taxonomy_Mappings |
| 2017-05-03 |
CWE内容团队 |
主教法冠 |
| 更新Related_Attack_Patterns |
| 2017-11-08 |
CWE内容团队 |
主教法冠 |
| 更新Likelihood_of_Exploit Modes_of_Introduction、引用关系 |
| 2018-01-23 |
CWE内容团队 |
主教法冠 |
| 更新的抽象 |
| 2018-03-27 |
CWE内容团队 |
主教法冠 |
| 更新引用、关系类型 |
| 2019-01-03 |
CWE内容团队 |
主教法冠 |
| 更新的关系,Taxonomy_Mappings |
| 2019-06-20 |
CWE内容团队 |
主教法冠 |
| 更新关系类型 |
| 2020-02-24 |
CWE内容团队 |
主教法冠 |
| 更新Applicable_Platforms Related_Attack_Patterns,关系 |
| 2021-10-28 |
CWE内容团队 |
主教法冠 |
| 更新的关系 |
| 2022-06-28 |
CWE内容团队 |
主教法冠 |
| 更新的关系 |
| 2022-10-13 |
CWE内容团队 |
主教法冠 |
| 更新Applicable_Platforms Demonstrative_Examples Observed_Examples,引用 |
| 2023-01-31 |
CWE内容团队 |
主教法冠 |
| 更新Applicable_Platforms Demonstrative_Examples,描述、Maintenance_Notes Modes_of_Introduction, Potential_Mitigations,引用关系,Taxonomy_Mappings |
| 2023-04-27 |
CWE内容团队 |
主教法冠 |
| 更新Detection_Factors、引用关系 |
| 2023-06-29 |
CWE内容团队 |
主教法冠 |
| 更新描述、Mapping_Notes关系 |
| 以前的条目名称 |
| 改变日期 |
以前的条目名称 |
| 2009-01-12 |
明文传输的敏感信息 |
|
更多的信息是可用的,请编辑自定义过滤器或选择一个不同的过滤器。
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
简化映射的相关视图”缺点漏洞发布”(cwe - 1003)
