CWE

普遍的弱点

A Community-Developed List of Software & Hardware Weakness Types
2021 CWE最重要的硬件弱点
CWE前25个最危险的弱点
>CWE列表>CWE- Individual Dictionary Definition (4.10)
ID

CWE-757:谈判期间选择较小的算法('算法降级')

Weakness ID: 757
抽象:根据
结构:简单的
查看自定义信息:
+描述
A protocol or its implementation supports interaction between multiple actors and allows those actors to negotiate which algorithm should be used as a protection mechanism such as encryption or authentication, but it does not select the strongest algorithm that is available to both parties.
+扩展描述
当安全机制被迫降级以使用较不安全的算法时,这可以使攻击者更容易通过利用弱算法来妥协产品。受害者可能不知道正在使用较不安全的算法。例如,如果攻击者可以迫使通信渠道使用ClearText代替强烈加密的数据,那么攻击者可以通过嗅探来阅读频道,而不是付出额外的努力来尝试使用蛮力技术解密数据。
+关系
部分帮助该表显示了与该弱点相关的弱点和高级类别。这些关系定义为childof,parentof,ementof,并深入了解可能存在于较高和较低抽象水平的类似项目。此外,定义了诸如Peerof和Canalsobe之类的关系,以显示用户可能想要探索的类似弱点。
+与观点“研究概念”相关(CWE-1000)
自然 类型 ID 姓名
Childof 支柱支柱- a weakness that is the most abstract type of weakness and represents a theme for all class/base/variant weaknesses related to it. A Pillar is different from a Category as a Pillar is still technically a type of weakness that describes a mistake, while a Category represents a common characteristic used to group related things. 693 保护机制故障
peerof 根据根据- a weakness that is still mostly independent of a resource or technology, but with sufficient details to provide specific methods for detection and prevention. Base level weaknesses typically describe issues in terms of 2 or 3 of the following dimensions: behavior, property, technology, language, and resource. 1328 安全版本编号可变成较旧版本
部分帮助该表显示了与该弱点相关的弱点和高级类别。这些关系定义为childof,parentof,ementof,并深入了解可能存在于较高和较低抽象水平的类似项目。此外,定义了诸如Peerof和Canalsobe之类的关系,以显示用户可能想要探索的类似弱点。
+Relevant to the view "Architectural Concepts" (CWE-1008)
自然 类型 ID 姓名
成员 CategoryCategory - a CWE entry that contains a set of other entries that share a common characteristic. 1013 加密数据
+介绍模式
部分帮助引言的不同模式提供了有关如何以及何时引入这种弱点的信息。该阶段识别可能发生介绍的生命周期中的一个点,而音符提供了与给定阶段中引言有关的典型情况。
Phase 笔记
建筑和设计 COMMISSION: This weakness refers to an incorrect design related to an architectural security tactic.
+常见后果
部分帮助该表指定与弱点相关的不同个人后果。该范围确定了违反的应用程序安全区域,而影响描述了如果对手成功利用这一弱点,就会产生负面的技术影响。其可能性提供了有关预期相对于列表中其他后果的特定后果的可能性的信息。例如,可能会利用弱点来实现一定的影响,但很可能会利用它来实现不同的影响。
范围 Impact 可能性
访问控制

技术影响:Bypass Protection Mechanism
+Observed Examples
参考 描述
Attacker can select an older version of the software to exploit its vulnerabilities.
谈判期间加密密码的优先级不正确会导致使用较弱的密码。
chain: SSL/TLS implementation disables a verification step (CWE-325)将降级攻击降级到较弱的协议。
Telnet protocol implementation allows downgrade to weaker authentication and encryption using an Adversary-in-the-Middle AITM attack.
SSH服务器实现允许覆盖配置设置以使用较弱的身份验证方案。这可能是与CWE-642
+Memberships
部分帮助此成员关系表显示了其他CWE类别和视图,将此弱点称为成员。该信息通常可用于理解弱点适合外部信息源的何处。
自然 类型 ID 姓名
成员 CategoryCategory - a CWE entry that contains a set of other entries that share a common characteristic. 957 SFP Secondary Cluster: Protocol Error
成员 CategoryCategory - a CWE entry that contains a set of other entries that share a common characteristic. 1346 OWASP前十2021年A02:2021-加密故障
+笔记

关系

这与CWE-300,尽管并非全部降级攻击都必须需要重定向或干扰网络的实体。见示例。
+内容历史记录
+Submissions
Submission Date 提交者 组织
2009-03-03 CWE内容团队 MITER
+修改
修改日期 Modifier 组织
2010-04-05 CWE内容团队 MITER
更新相关的_attack_patterns
2011-06-01 CWE内容团队 MITER
updated Common_Consequences
2012-05-11 CWE内容团队 MITER
更新的关系
2014-07-30 CWE内容团队 MITER
更新的关系
2017-01-19 CWE内容团队 MITER
更新相关的_attack_patterns, Relationships
2017-11-08 CWE内容团队 MITER
更新的模式_OF_INTRODUCTION,关系
2019-06-20 CWE内容团队 MITER
updated Type
2020-02-24 CWE内容团队 MITER
更新了观察到的examples, Relationship_Notes, Relationships
2020-12-10 CWE内容团队 MITER
更新的关系
2021-07-20 CWE内容团队 MITER
更新了观察到的examples
2021-10-28 CWE内容团队 MITER
更新的关系
2023-01-31 CWE内容团队 MITER
更新的描述
提供更多信息 - 请选择其他过滤器。
页面最后更新:2023年1月31日

Use of the Common Weakness Enumeration (CWE) and the associated references from this website are subject to the使用条款。CWE由美国国土安全部(DHS)网络安全和基础设施安全局(CISA),由国土安全系统工程和开发研究所(HSSEDI) which is operated bymanbetx客户端首页(MITER)。版权所有©2006–2023,Miter Comanbetx客户端首页rporation。CWE,CWSS,CWRAF和CWE徽标是Miter Corporation的商标。manbetx客户端首页