CWE ID: 322
Name: Key Exchange without Entity Authentication
Das Produkt führt einen Key Exchange mit einem Akteur durch, ohne dessen Identität zu verifizieren.
Ein Key Exchange erhält die Integrität der zwischen zwei Entitäten ausgetauschten Informationen, garantiert jedoch nicht, dass diese Entitäten die sind, die sie vorgeben zu sein. Dies kann einem Angreifer die Möglichkeit eröffnen, einen Akteur durch Manipulation des Traffics zwischen den beiden Entitäten zu imitieren. Typischerweise beinhaltet dies einen Opfer-Client, der eine bösartige Server kontaktiert, der einen vertrauenswürdigen Server imitiert. Sollte der Client die Authentifizierung überspringen oder einen Authentifizierungsfehler ignorieren, kann der bösartige Server Authentifizierungsinformationen vom Benutzer anfordern. Der bösartige Server kann diese Authentifizierungsinformationen dann verwenden, um sich mit den Anmeldedaten des Opfers auf dem vertrauenswürdigen Server anzumelden, Traffic zwischen dem Opfer und dem vertrauenswürdigen Server abzufangen usw.
Effektivität: Unknown
Beschreibung: Stellen Sie sicher, dass eine angemessene Authentication in das Systemdesign integriert wird.
Effektivität: Unknown
Beschreibung: Verstehen und implementieren Sie alle Prüfungen, die notwendig sind, um die Identität der an verschlüsselten Kommunikationen beteiligten Entitäten sicherzustellen. Dies beinhaltet die korrekte Handhabung von certificates und die Validierung von digital signatures.
