Weakness

Im OSSTMM eine Schwachstelle der zweithöchsten Risikoklasse – etwa, wenn Passwörter unverschlüsselt übertragen werden. Eine Weakness bedeutet, dass eine Schwachstelle zwar vorhanden ist, aber noch keine unmittelbare Exploit-Möglichkeit bietet. Beispiele sind unsichere Passworttransfers (über HTTP statt HTTPS), unzureichende Input-Validierung oder fehlende Sicherheitsheader. Obwohl keine sofortige Ausnutzbarkeit garantiert ist, erhöht eine Weakness die Angriffswahrscheinlichkeit in Kombination mit anderen Faktoren (z. B. Man-in-the-Middle-Potential). OSSTMM empfiehlt, Weaknesses innerhalb eines vorgegebenen Timeframes zu adressieren—etwa durch Einführung von TLS, Konfiguration von HSTS oder Kodierung von Benutzereingaben—um sie auf die nächste Stufe (Concern oder Vulnerability) gar nicht erst eskalieren zu lassen.