摘要驗證遭到暴力密碼破解

語系：

摘要驗證遭到暴力密碼破解

掃描程式使用要求摘要驗證 HTTP 標頭中的弱憑證，成功通過目標 Web 應用程式的驗證。

應用程式不應以使用預設或可預測憑證的帳戶進行設定。應定義複雜的密碼原則，並針對應用程式中每個可用的帳戶強制執行，以防止攻擊者猜測密碼，並取得未經授權的應用程式存取權。

嚴重性: High

ID: 114295

類型: remote

系列: Authentication & Session

已發布: 2024/6/10

已更新: 2024/6/10

掃描範本: pci, scan

風險因素: Medium

分數: 5.4

風險因素: High

基本分數: 7.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: Tenable

風險因素: High

基本分數: 8.6

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L

CVSS 評分資料來源: Tenable

CWE: 16, 521

OWASP: 2010-A3, 2010-A6, 2013-A2, 2013-A5, 2017-A2, 2017-A6, 2021-A5, 2021-A7

WASC: Application Misconfiguration

CAPEC: 112, 16, 49, 509, 55, 555, 561, 565, 70

HIPAA: 164.306(a)(1), 164.306(a)(2)

ISO: 27001-A.9.2.1, 27001-A.9.2.4, 27001-A.9.3.1, 27001-A.9.4.3

NIST: sp800_53-IA-5

OWASP API: 2019-API7, 2023-API8

OWASP ASVS: 4.0.2-2.1.1, 4.0.2-2.1.11, 4.0.2-2.1.12, 4.0.2-2.1.2, 4.0.2-2.1.3, 4.0.2-2.1.4, 4.0.2-2.1.7, 4.0.2-2.1.8, 4.0.2-2.1.9

PCI-DSS: 3.2-6.5.10