CWE-649 依赖于未经完整性检查的安全相关输入的混淆或加密 类漏洞列表 5

CWE：CWE-649 依赖对安全相关输入进行混淆或加密，而未进行完整性检查 英文：产品使用了对不应由外部实体更改的输入进行混淆或加密，但产品未使用完整性检查来检测这些输入是否已被修改。 当应用程序依赖混淆或错误应用/弱加密来保护客户端可控的令牌（token）或参数（parameter）时，这些令牌或参数可能会影响用户状态、系统状态或服务器端做出的某些决策。如果不保护令牌/参数的完整性，应用程序将容易受到攻击，攻击者会遍历该令牌/参数所有可能值的空间，试图获得优势。攻击者的目标是找到另一个可接受的值，从而以某种方式提升其在系统中的权限、泄露信息或以对攻击者有利的方式改变系统行为。如果应用程序未保护这些关键令牌/参数的完整性，它将无法确定这些值是否已被篡改。用于保护数据机密性的措施不应被依赖以提供完整性服务。