CWE ID: 319
Name: Cleartext Transmission of Sensitive Information
Das Produkt überträgt sensible oder sicherheitskritische Daten in Klartext über einen Kommunikationskanal, der von unbefugten Akteuren gesnifft werden kann.
Effektivität: Unknown
Beschreibung: Verschlüsseln Sie die Daten vor der Übertragung mit zuverlässigen, die Vertraulichkeit schützenden cryptographic protocols.
Effektivität: Unknown
Beschreibung: Bei der Nutzung von Webanwendungen mit SSL sollte SSL für die gesamte Session, von der Anmeldung bis zur Abmeldung, und nicht nur für die anfängliche Anmeldeseite, verwendet werden.
Effektivität: Unknown
Beschreibung: Bei der Konzeption von Hardware-Plattformen ist sicherzustellen, dass zugelassene Verschlüsselungsalgorithmen (wie beispielsweise von NIST empfohlen) Pfade von sicherheitskritischen Daten zu vertrauenswürdigen User Applications schützen.
Effektivität: Unknown
Beschreibung: Nutzen Sie Tools und Techniken, die eine manuelle (menschliche) Analyse erfordern, wie beispielsweise Penetration Testing, Threat Modeling und interaktive Tools, die es dem Tester ermöglichen, eine aktive Session aufzuzeichnen und zu modifizieren. Diese können effektiver sein als rein automatisierte Verfahren. Dies gilt insbesondere für Schwachstellen, die mit Design und Business Rules in Zusammenhang stehen.
Effektivität: Unknown
Beschreibung: Konfigurieren Sie Server zur Nutzung verschlüsselter Kanäle für die Kommunikation, was SSL oder andere sichere Protokolle umfassen kann.
