7 :Fallas de Identificación y Autenticación

Anteriormente conocida como Autenticación rota , esta categoría descendió desde la segunda posición y ahora incluye enumeraciones de debilidades comunes (CWE) relacionadas con fallas de identificación.

Se refiere a las debilidades en la forma en que las aplicaciones web implementan la identificación y autenticación de los usuarios. Estas vulnerabilidades pueden permitir a los atacantes acceder a cuentas de usuario de manera indebida, lo que puede tener consecuencias graves, como el robo de información confidencial, la suplantación de identidad y el fraude financiero.

Lista de Mapeados CWEs

CWE-255 Credentials Management Errors

CWE-259 Use of Hard-coded Password

CWE-287 Improper Authentication

CWE-288 Authentication Bypass Using an Alternate Path or Channel

CWE-290 Authentication Bypass by Spoofing

CWE-294 Authentication Bypass by Capture-replay

CWE-295 Improper Certificate Validation

CWE-297 Improper Validation of Certificate with Host Mismatch

CWE-300 Channel Accessible by Non-Endpoint

CWE-302 Authentication Bypass by Assumed-Immutable Data

CWE-304 Missing Critical Step in Authentication

CWE-306 Missing Authentication for Critical Function

CWE-307 Improper Restriction of Excessive Authentication Attempts

CWE-346 Origin Validation Error

CWE-384 Session Fixation

CWE-521 Weak Password Requirements

CWE-613 Insufficient Session Expiration

CWE-620 Unverified Password Change

CWE-640 Weak Password Recovery Mechanism for Forgotten Password

CWE-798 Use of Hard-coded Credentials

CWE-940 Improper Verification of Source of a Communication Channel

CWE-1216 Lockout Mechanism Errors

Recursos

A07 Identification and Authentication Failures - OWASP Top 10:2021owasp.org