CWE ID: 306
Name: Missing Authentication for Critical Function
Das Produkt führt keine Authentifizierung für Funktionalitäten durch, die eine nachweisbare User Identity erfordern oder eine signifikante Menge an Ressourcen konsumieren.
Effektivität: Unknown
Beschreibung: Für alle Security Checks, die clientseitig durchgeführt werden, ist sicherzustellen, dass diese Checks serverseitig dupliziert werden, um CWE-602 zu vermeiden. Angreifer können die clientseitigen Checks umgehen, indem sie Werte nach der Durchführung der Checks modifizieren oder den Client verändern, um die clientseitigen Checks vollständig zu entfernen. Anschließend würden diese modifizierten Werte an den Server übermittelt.
Effektivität: Unknown
Beschreibung: Bei der Speicherung von Daten in der Cloud (z.B. S3 buckets, Azure blobs, Google Cloud Storage, etc.) ist zu gewährleisten, dass die Kontrollen des jeweiligen Providers genutzt werden, um eine starke Authentifizierung für Benutzer zu erzwingen, denen Zugriff auf die Daten gewährt werden soll [REF-1297] [REF-1298] [REF-1302].
