目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%
请我们喝杯咖啡

CWE-302 使用假设不可变数据进行的认证绕过 类漏洞列表 32

CWE-302 使用假设不可变数据进行的认证绕过 类弱点 32 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-302 属于认证绕过漏洞,指系统错误假设某些关键数据不可变,而攻击者实际能控制或修改这些数据。攻击者通常通过篡改会话令牌、缓存数据或配置参数,欺骗认证机制从而获取未授权访问权限。开发者应避免依赖易变数据作为安全判断依据,需实施严格的数据完整性校验,确保认证关键信息在存储和传输过程中不被恶意篡改,以保障身份验证的可靠性。

MITRE CWE 官方描述
CWE:CWE-302 通过假设不可变数据进行身份验证绕过 英文:身份验证方案或实现使用了被假定为不可变的关键数据元素,但这些元素可以被攻击者控制或修改。
常见影响 (1)
Access ControlBypass Protection Mechanism
缓解措施 (1)
Architecture and Design, Operation, ImplementationImplement proper protection for immutable data (e.g. environment variable, hidden form fields, etc.)
代码示例 (1)
In the following example, an "authenticated" cookie is used to determine whether or not a user should be granted access to a system.
boolean authenticated = new Boolean(getCookieValue("authenticated")).booleanValue(); if (authenticated) { ... }
Bad · Java
CVE ID标题CVSS风险等级Published
CVE-2020-15074 OpenVPN 代码问题漏洞 — OpenVPN Access Server 7.5 -2020-07-14
CVE-2016-9482 PHP FormMail Generator 授权问题漏洞 — Generator 9.8 -2018-07-13

CWE-302(使用假设不可变数据进行的认证绕过) 是常见的弱点类别,本平台收录该类弱点关联的 32 条 CVE 漏洞。