 描述
产品使用一个传输协议,它不包括一个机制来验证在传输过程中数据的完整性,如校验和。
扩展描述
如果完整性检查值或“校验和”省略了一个协议,没有办法确定数据已经损坏的传播。缺少校验和功能在一个协议删除第一个可以使用应用程序级的数据检查。端到端检查指出,哲学应该执行完整性检查在最低水平,他们可以完全实现。排除进一步健康检查和输入验证执行的应用程序,协议的校验和校验和是最重要的水平,因为它完全可以执行超过以往任何级别,考虑整个消息,而不是单一的数据包。
的关系
 此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关观点“软件开发”(cwe - 699)
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
 类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1214年 |
数据完整性问题 |
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
 相关视图”架构概念”(cwe - 1008)
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1020年 |
验证消息的完整性 |
模式的介绍
不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
| 阶段 |
请注意 |
| 架构和设计 |
遗漏:这个弱点是由于缺少一个安全策略在体系结构和设计阶段。 |
| 实现 |
|
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
完整性
其他
|
数据解析和使用可能会损坏。 |
|
不可抵赖性
其他
|
没有校验和是不可能的,以确定是否有任何更改了数据后发送。 |
|
利用的可能性
示范例子
示例1
在这个例子中,接收到一个请求数据包,并享有特权的信息被发送到请求者:
而(真){
DatagramPacket rp = new DatagramPacket (rData rData.length);
outSock.receive (rp);
InetAddress IPAddress = rp.getAddress ();
int port = rp.getPort ();
= secret.getBytes ();
DatagramPacket sp = new DatagramPacket (,。长度、IPAddress港口);
outSock.send (sp); }
响应包含秘密数据没有与之关联的完整性检查,允许攻击者修改消息没有检测。
潜在的缓解措施
阶段:体系结构和设计
添加一个适当大小的校验和协议,确保数据可能是简单的解析和使用之前进行验证。 |
实施阶段:
确保校验和协议设计中正确实施和添加到每个消息之前发送。 |
会员资格
这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。
分类法映射
| 映射分类名称 |
节点ID |
适合 |
映射节点名 |
| 扣 |
|
|
未能添加完整性检查的价值 |
引用
|
|
|
迈克尔•霍华德(REF-44)大卫·勒布朗和Viega约翰。软件安全的“24宗罪”。“罪15:不容易更新。”Page 231. McGraw-Hill. 2010. |
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关视图”架构概念”(cwe - 1008)
