 描述
扩展描述
执行一个密钥交换将保留两个实体之间传输的信息的完整性,但这不会保证实体是他们声称他们是谁。这可能使攻击者冒充演员通过修改两个实体之间的交通。通常,这涉及到一个受害者客户联系人恶意冒充一个可信的服务器的服务器。如果客户跳过验证或忽略了身份验证失败,恶意服务器可能请求用户的身份验证信息。恶意服务器可以使用这个认证信息登录到受信任的服务器使用受害者的凭证,嗅探受害者和受信任的服务器之间的流量等。
的关系
 此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
 相关视图”架构概念”(cwe - 1008)
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
 类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1010年 |
验证的演员 |
模式的介绍
不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
| 阶段 |
请注意 |
| 架构和设计 |
遗漏:这个弱点是由于缺少一个安全策略在体系结构和设计阶段。 |
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
访问控制
|
没有验证发生在这个过程中,绕过一个假定的加密保护。 |
|
保密
|
加密的用户之间的通信和可信主机可能受到任何演员嗅探的通信路径。 |
|
利用的可能性
示范例子
示例1
许多系统使用diffie - hellman密钥交换没有验证实体交换密钥,允许攻击者影响通信重定向或干扰的通信路径。许多人使用SSL / TLS跳过验证(通常是在不知情的情况下)。
潜在的缓解措施
阶段:体系结构和设计
确保适当的身份验证是包含在系统设计中。 |
实施阶段:
正确理解和执行所有必要的检查以确保实体的身份参与加密通信。 |
会员资格
这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。
分类法映射
| 映射分类名称 |
节点ID |
适合 |
映射节点名 |
| 扣 |
|
|
没有实体认证密钥交换 |
引用
|
|
|
迈克尔•霍华德(REF-44)大卫·勒布朗和Viega约翰。软件安全的“24宗罪”。PKI的“罪23:使用不当,尤其是SSL。”Page 347. McGraw-Hill. 2010. |
|
(ref - 62)马克·多德约翰麦克唐纳和贾斯汀Schuh。“软件安全评估的艺术”。第二章,“靠不住的凭证”,37页。1版。艾迪生卫斯理》2006。 |
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关视图”架构概念”(cwe - 1008)
