Category-1013: 加密数据

  • A+

Category-1013: 加密数据

ID: 1013
Status: Draft


Weaknesses in this category are related to the design and architecture of data confidentiality in a system. Frequently these deal with the use of encryption libraries. The weaknesses in this category could lead to a degradation of the quality data encyprtion if they are not addressed when designing or implementing a secure architecture.


CWE-256 明文存储口令
CWE-257 以可恢复格式存储口令
CWE-260 配置文件中存储口令
CWE-261 口令使用弱密码学算法
CWE-311 敏感数据加密缺失
CWE-312 敏感数据的明文存储
CWE-313 在文件或磁盘上的明文存储
CWE-314 在注册表中的明文存储
CWE-315 在Cookie中的明文存储
CWE-316 在内存中的明文存储
CWE-317 在GUI中的明文存储
CWE-318 在可执行体中的明文存储
CWE-319 敏感数据的明文传输
CWE-321 使用硬编码的密码学密钥
CWE-323 在加密中重用Nonce与密钥对
CWE-324 使用已过期的密钥
CWE-325 缺少必要的密码学步骤
CWE-326 不充分的加密强度
CWE-327 使用已被攻破或存在风险的密码学算法
CWE-328 可逆的单向哈希
CWE-330 使用不充分的随机数
CWE-331 信息熵不充分
CWE-332 PRNG中信息熵不充分
CWE-333 TRNG不充分信息熵的处理不恰当
CWE-334 随机数的空间太小
CWE-335 PRNG种子错误
CWE-336 PRNG中使用相同种子
CWE-337 PRNG中使用可预测种子
CWE-338 使用具有密码学弱点缺陷的PRNG
CWE-339 PRNG中的种子空间太小
CWE-347 密码学签名的验证不恰当
CWE-522 不充分的凭证保护机制
CWE-523 凭证传输未经安全保护
CWE-757 在会话协商时选择低安全性的算法(算法降级)
CWE-759 使用未加Salt的单向哈希算法
CWE-760 使用可预测Salt的单向哈希算法
CWE-780 未配合OAEP使用RSA算法
CWE-922 敏感信息的不安全存储


REF-9 A Catalog of Security Architecture Weaknesses.
REF-10 Understanding Software Vulnerabilities Related to Architectural Security Tactics: An Empirical Investigation of Chromium, PHP and Thunderbird.



:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: