Identification and Authentication Failures 指的是程式在驗證身分以及授權上出現漏洞,讓攻擊者有機會可以透過手段攻破驗證機制,取得授權。
這個弱點分類跟之前提到的Broken Access Control不同的地方在於
Identification and Authentication Failures 主要著重在用戶身分被盜用
例如:密碼被暴力破解、透過系統漏洞取得用戶登入的權限等等
Broken Access Control 則是著重在通過驗證、取得授權後,攻擊者使用已驗證的用戶身分執行系統未授權的行為。
例如:在登入成功後,利用系統漏洞查看其他用戶的私人資訊