Category-1013: 加密数据

ID: 1013 Status: Draft

Summary

Weaknesses in this category are related to the design and architecture of data confidentiality in a system. Frequently these deal with the use of encryption libraries. The weaknesses in this category could lead to a degradation of the quality data encyprtion if they are not addressed when designing or implementing a secure architecture.

Membership

ID	NAME
CWE-256	明文存储口令
CWE-257	以可恢复格式存储口令
CWE-260	配置文件中存储口令
CWE-261	口令使用弱密码学算法
CWE-311	敏感数据加密缺失
CWE-312	敏感数据的明文存储
CWE-313	在文件或磁盘上的明文存储
CWE-314	在注册表中的明文存储
CWE-315	在Cookie中的明文存储
CWE-316	在内存中的明文存储
CWE-317	在GUI中的明文存储
CWE-318	在可执行体中的明文存储
CWE-319	敏感数据的明文传输
CWE-321	使用硬编码的密码学密钥
CWE-323	在加密中重用Nonce与密钥对
CWE-324	使用已过期的密钥
CWE-325	缺少必要的密码学步骤
CWE-326	不充分的加密强度
CWE-327	使用已被攻破或存在风险的密码学算法
CWE-328	可逆的单向哈希
CWE-330	使用不充分的随机数
CWE-331	信息熵不充分
CWE-332	PRNG中信息熵不充分
CWE-333	TRNG不充分信息熵的处理不恰当
CWE-334	随机数的空间太小
CWE-335	PRNG种子错误
CWE-336	PRNG中使用相同种子
CWE-337	PRNG中使用可预测种子
CWE-338	使用具有密码学弱点缺陷的PRNG
CWE-339	PRNG中的种子空间太小
CWE-347	密码学签名的验证不恰当
CWE-522	不充分的凭证保护机制
CWE-523	凭证传输未经安全保护
CWE-757	在会话协商时选择低安全性的算法（算法降级）
CWE-759	使用未加Salt的单向哈希算法
CWE-760	使用可预测Salt的单向哈希算法
CWE-780	未配合OAEP使用RSA算法
CWE-922	敏感信息的不安全存储

References

REF-9 A Catalog of Security Architecture Weaknesses. REF-10 Understanding Software Vulnerabilities Related to Architectural Security Tactics: An Empirical Investigation of Chromium, PHP and Thunderbird.