客户端密码强度策略验证。CVSS3.1？WSTG？

Question

使用OWASP测试指南，如果仅实现客户端的密码强度策略验证，是否可以将其视为漏洞？哪一类？

还有它应该有哪个CVSS？

Answer 1

是的，它可以被看作是一个漏洞，因为所有仅在客户端完成的事情都不是强制执行的。

这种情况相当于没有强制的密码强度。

本主题在“身份验证”类别中的OWASP应用程序安全验证标准中描述：https://github.com/OWASP/ASVS/blob/master/4.0/en/0x11-V2-Authentication.md#v21-password-security-requirements

这不是一个特定的缺陷(比如CVE和CVSS评分)，而是一个普遍的缺陷(所以是一个CWE)。

因此，您可以在这里找到详细信息：

• https://cwe.mitre.org/data/definitions/20.html
• https://cwe.mitre.org/data/definitions/602.html
• https://cwe.mitre.org/data/definitions/521.html

每一篇文章都详细介绍了上述缺陷类别(在成员部分)。

没有像CVSS这样的数字分数，但是您可以使用CVSS计算器来估计它：https://www.first.org/cvss/calculator/3.0。

在您的情况下，常规用户不会试图绕过客户端的密码策略。如果攻击者试图这么做，他只能为自己创建一个安全性较差的帐户。

我们可以想象一个场景，攻击者试图让受害者点击一个链接，该链接可以更改您网站上自己帐户的密码，而不受客户端的限制.但是使用这个链接窃取当前密码^^要简单得多。

因此，我猜想，https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N矢量是CVSS，但它是非常理论的。