为什么CWE中有多个“硬编码密码”条目而不是单个条目？

Question

当我在软件世界中查找硬编码密码漏洞时，我看到了三种漏洞。这些是：

CWE-798:硬编码凭据的使用

硬编码的Cred漏洞定义：“该软件包含硬编码凭据，如密码或密码密钥，用于自己的入站身份验证、与外部组件的出站通信或内部数据加密。”

CWE-259:使用硬编码密码

硬编码密码漏洞定义：“该软件包含一个硬编码密码，用于自己的入站身份验证或与外部组件的出站通信。”

CWE-260:配置文件中的密码

Config漏洞定义中的密码：“软件将密码存储在配置文件中，不知道密码的参与者可以访问该文件。”

当我调查这些cwe页面时，我完全糊涂了。因为CWE-798和CWE-259提供了与示例完全相同的易受攻击的代码段。我的意思是这两个漏洞看起来都是一样的。

此外，CWE-798和CWE-259给出了易受攻击的配置代码片段，作为同时发生在CWE-260中的一个示例。

有人能解释为什么所有这些cwe条目不是一个条目吗？这些条目之间有什么不同？

Answer 1

CWE-259和CWE-260是在2006-07-19年添加的，它起源于7.有害王国，这是一种非常适合对漏洞进行分类的早期尝试。

与此同时，互联网也发生了变化。

MITRE在2010-01-15年度增加了CWE-798，其理由如下：

更抽象的条目硬编码密码和硬编码密码密钥。

因此，我们在他们之间的4年中学到的是，259和260不够全面，而且确实过于具体，因此增加了一个更笼统的术语。

然而，我们不能仅仅删除它们，因为在这四年中，有259和260的反向链接，而且这对保持它们并没有什么坏处:当然，除了混淆之外。

但是CWE本身并没有很好的架构(在我看来)，并且可以通过一些整体的改进来使当前相关的威胁更容易获取，而历史的威胁就不那么突出了。

Answer 2

我想为什么这个问题的答案是.

CWE™是一个社区开发的软件和硬件弱点类型列表.

这是一种指示性的工具，而不是脆弱性分类的权威。

所有上述的CWEs也通过它们的父CWEs相互连接：

• WE-284:不正确的访问控制
  • MemberOf视图1000个研究概念
  • ParentOf类287个不正确的认证
    • ParentOf类1390弱认证
      • ParentOf类522份保护不足的全权证书
        • ParentOf碱基260个配置文件中的密码

        - ParentOf Class [1391 Use of Weak Credentials](https://cwe.mitre.org/data/definitions/1391.html) 
            - ParentOf Base [**798** Use of Hard-coded Credentials](https://cwe.mitre.org/data/definitions/798.html) 
            - ParentOf Variant [**259** Use of Hard-coded Password](https://cwe.mitre.org/data/definitions/259.html)

但是，这些链接并不是排他性的，因为任何CWE都可以有多个孩子，也可以有多个父母。最好是在有共同例子的CWEs之间建立更直接的关系。

此外，由于所有的CWEs都是CWE观点:研究概念的一部分，因此必须考虑到

• 这个观点旨在促进对弱点的研究，包括它们之间的相互依存性，并且可以利用它来系统地确定CWE内部的理论差距。它主要是根据行为的抽象来组织的，而不是它们如何被检测，它们出现在代码中的位置，或者它们是在开发生命周期中引入的。从设计上看，这一观点将包括CWE内部的每一个弱点。
• 关系类型类仍然非常抽象，通常独立于任何特定的语言或技术。基级弱点被用来表示一种更具体的弱点。变体是在非常低的细节层次上描述的一个弱点，通常仅限于特定的语言或技术。

Answer 3

是不同的东西。

CWE-260讨论如何将身份验证凭据以明文形式存储在配置文件中，以便攻击者能够了解它。

CWE-259讨论了如何在传入或传出通信中使用硬编码密码。请注意，此硬编码密码不需要配置，也不需要存储在纯文本中。它可以是编译成二进制文件的源代码中的散列。

CWE-798将此扩展为包括用于身份验证或加密的任何类型的凭据，即使用于对静止的数据进行加密。

可以说，CWE-798也包括CWE-259。但是CWE-260是一个独特的类型，凭证存储在配置文件中。