哪些类型的软件可能存在“硬编码密码”漏洞？

Question

当我调查谷歌的结果时，软件漏洞“硬编码密码”(cwe-798 & cwe-259)是IoT设备的软件(参见：link1)和厚客户端软件(参见：link2，link3)的漏洞。当密码嵌入到这两种类型的软件中时，可以通过反编译来揭示密码。作为一个攻击者，这个弱点可以被利用，因为我们掌握着软件的二进制代码。

但是网络应用呢？我是说服务器端软件。在web应用软件中，作为攻击者，二进制代码并不掌握在我们手中。因为它不是客户端软件。这是服务器端软件。那么，对于web应用软件来说，硬编码密码漏洞仍然是一个有效的漏洞吗？或者这个漏洞只是针对IoT和厚客户端软件？

注意: CWE关于此漏洞的网页(cwe-798和cwe-259)只是说这是一个软件漏洞，但没有说明该漏洞适用于哪种类型的软件。

Answer 1

您应该期望攻击者拥有完整的应用程序代码。

您的问题可能是“攻击者如何获得服务器端代码？”这有很多种方法。例如：

• 攻击者可以访问构建环境。
• 攻击者可以访问工件存储库，特别是存储二进制文件的地方: GitHub包注册表、JFrog Artifactory、。
• 攻击者可以访问其中一个暂存环境，例如集成测试或负载测试正在运行的位置。

攻击者获得二进制代码后，在客户端或服务器端运行此代码并不重要。

Answer 2

任何使用密码的应用程序都可能受到密码的影响。链接到的MITRE CWE页面提供了几个示例，包括：

• 加密密钥。
• 默认账户。
• 无法更改的硬编码令牌和密码。

所有这些都可以应用于web应用程序，就像厚客户机或任何其他类型的应用程序一样(许多IoT示例实际上正在影响IoT设备上的web接口)。

对于攻击者来说，它们可能更难识别(因为它们可能无法访问应用程序二进制文件或源代码)，但这并不意味着它们不存在。