程式碼安全測試第十四期：使用已破解或危險的加密演算法導致的漏洞

一、什麼是使用已破解或危險的加密演算法導致的漏洞?

使用已破解或者有風險的加密演算法會產生軟體風險，可能導致敏感資訊暴露。使用非標準演算法相對危險較高，因為惡意攻擊者可能會利用該演算法的漏洞進而危害任何受保護的資料。

二、使用已破解或危險的加密演算法導致的漏洞構成條件有哪些?

滿足以下條件，就構成了一個使用已破解或危險的加密演算法導致的安全漏洞：

1、使用已破解或危險的加密演算法進行加密。

三、使用已破解或危險的加密演算法導致的漏洞會造成哪些後果?

關鍵詞：讀取應用程式資料;修改應用程式資料;隱藏活動

使用已破解或危險的加密演算法可能會危及敏感資料的機密性、完整性。

如果使用加密演算法來確保資料來源的身份(例如數字簽名)，那麼使用已破解或危險的加密演算法將危及該方案，並且無法證明資料的來源。

四、使用已破解或危險的加密演算法導致的漏洞的防範和修補方法有哪些?

當需要儲存或傳輸敏感資料時，使用強大的、最新的加密演算法加密該資料。選擇一個目前被該領域專家認為是強大的、經過仔細審查的演算法，並使用經過充分測試的加密演算法。

五、使用已破解或危險的加密演算法導致的漏洞樣例：

用悟空 靜態程式碼檢測工具分析 上述程式程式碼，則可以發現程式碼中存在著“使用已破解或危險的加密演算法” 導致的 程式碼缺陷 ，如下圖：

使用已破解或危險的加密演算法在CWE中被編號為CWE-327: Use of a Broken or Risky Cryptographic Algorithm