CWE-290 使用欺骗进行的认证绕过 类弱点 278 条 CVE 漏洞汇总,含 AI 中文分析。
CWE-290 是一种身份验证绕过漏洞,源于身份验证机制实现不当,易受欺骗攻击。攻击者通常通过伪造或篡改身份标识(如IP地址、证书或令牌),使系统误认其为合法用户从而获取未授权访问权限。开发者应实施强身份验证策略,包括多因素认证、严格的输入验证及防重放机制,并定期审查认证逻辑,确保身份源的可信性与完整性,以有效防御此类欺骗行为。
String sourceIP = request.getRemoteAddr(); if (sourceIP != null && sourceIP.equals(APPROVED_IP)) { authenticated = true; }sd = socket(AF_INET, SOCK_DGRAM, 0); serv.sin_family = AF_INET; serv.sin_addr.s_addr = htonl(INADDR_ANY); servr.sin_port = htons(1008); bind(sd, (struct sockaddr *) & serv, sizeof(serv)); while (1) { memset(msg, 0x0, MAX_MSG); clilen = sizeof(cli); if (inet_ntoa(cli.sin_addr)==getTrustedAddress()) { n = recvfrom(sd, msg, MAX_MSG, 0, (struct sockaddr *) & cli, &clilen); } }while(true) { DatagramPacket rp=new DatagramPacket(rData,rData.length); outSock.receive(rp); String in = new String(p.getData(),0, rp.getLength()); InetAddress clientIPAddress = rp.getAddress(); int port = rp.getPort(); if (isTrustedAddress(clientIPAddress) & secretKey.equals(in)) { out = secret.getBytes(); DatagramPacket sp =new DatagramPacket(out,out.length, IPAddress, port); outSock.send(sp); } }CWE-290(使用欺骗进行的认证绕过) 是常见的弱点类别,本平台收录该类弱点关联的 278 条 CVE 漏洞。