程式碼安全測試第十四期:使用已破解或危險的加密演算法導致的漏洞
一、什麼是使用已破解或危險的加密演算法導致的漏洞?
使用已破解或者有風險的加密演算法會產生軟體風險,可能導致敏感資訊暴露。使用非標準演算法相對危險較高,因為惡意攻擊者可能會利用該演算法的漏洞進而危害任何受保護的資料。
二、使用已破解或危險的加密演算法導致的漏洞構成條件有哪些?
滿足以下條件,就構成了一個使用已破解或危險的加密演算法導致的安全漏洞:
1、使用已破解或危險的加密演算法進行加密。
三、使用已破解或危險的加密演算法導致的漏洞會造成哪些後果?
關鍵詞:讀取應用程式資料;修改應用程式資料;隱藏活動
使用已破解或危險的加密演算法可能會危及敏感資料的機密性、完整性。
如果使用加密演算法來確保資料來源的身份(例如數字簽名),那麼使用已破解或危險的加密演算法將危及該方案,並且無法證明資料的來源。
四、使用已破解或危險的加密演算法導致的漏洞的防範和修補方法有哪些?
當需要儲存或傳輸敏感資料時,使用強大的、最新的加密演算法加密該資料。選擇一個目前被該領域專家認為是強大的、經過仔細審查的演算法,並使用經過充分測試的加密演算法。
五、使用已破解或危險的加密演算法導致的漏洞樣例:
用悟空 靜態程式碼檢測工具分析 上述程式程式碼,則可以發現程式碼中存在著“使用已破解或危險的加密演算法” 導致的 程式碼缺陷 ,如下圖:
使用已破解或危險的加密演算法在CWE中被編號為CWE-327: Use of a Broken or Risky Cryptographic Algorithm
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2775443/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 使用已破解或危險的加密演算法導致的漏洞加密演算法
- 程式碼安全測試第十六期:使用不安全的隨機值漏洞隨機
- 程式碼安全測試第四期:可逆的單向雜湊漏洞
- 程式碼安全測試第十二期:LDAP注入漏洞LDA
- 程式碼安全測試第十五期:跨站指令碼漏洞指令碼
- 程式碼安全測試第九期:Switch中省略了break語句導致的程式碼缺陷漏洞
- 心臟滴血漏洞:OpenSSL中的一個漏洞如何導致安全危機
- 程式碼安全測試第十三期:敏感資訊的明文傳輸漏洞
- 程式碼安全測試第二十四期:數字型別的不正確轉換漏洞型別
- 程式碼安全測試第十八期:呼叫System.exit()存在安全漏洞
- 程式碼安全測試第十期:日誌偽造漏洞
- 程式碼安全測試第十一期:記憶體洩漏漏洞記憶體
- 程式碼安全測試第八期:Switch中缺少default導致的程式碼缺陷
- 程式碼安全測試第十九期:用不安全的授權建立臨時檔案漏洞
- 程式碼安全測試第十七期:物件只定義了Equals和Hashcode方法之一的漏洞物件
- 程式碼安全測試第七期:不安全的反射漏洞缺陷反射
- 程式碼安全測試第二十八期:未使用的變數缺陷漏洞變數
- 程式碼安全測試第二十六期:透過錯誤訊息導致的資訊暴露
- 程式碼安全測試第六期:XPath注入漏洞
- 程式碼安全測試第五期:OS命令注入漏洞
- 網路安全中檔案上傳漏洞是如何導致的?
- 新的PHP高危漏洞可導致黑客執行遠端程式碼攻擊PHP黑客
- 程式碼安全測試第三期:路徑遍歷漏洞的防範與檢測
- 滲透測試之CSRF程式碼漏洞的檢測與加固方案
- Burpsuite安全測試測試指導UI
- 逆向破解js程式碼加密,程式碼混淆不是難事JS加密
- 程式碼安全測試第二期:URL重定向(跳轉)漏洞
- Redis禁用或重新命名危險命令Redis
- 程式碼安全 兩種程式碼漏洞
- 程式碼安全測試第一期:什麼是SQL隱碼攻擊漏洞?SQL
- 新的嚴重安全漏洞影響CODESYS工業自動化軟體 或可導致遠端程式碼執行
- 程式碼安全測試第二十期:資源未關閉/釋放漏洞
- 程式碼安全測試第二十二期:HTTP響應拆分漏洞HTTP
- APP安全測試 該如何滲透檢測APP存在的漏洞APP
- 悉尼大學:研究發現天熱吹風扇可能會導致生命危險
- Acer和華碩電腦漏洞曝光,可導致任意程式碼執行
- 嚴重 PHP 漏洞導致伺服器遭受遠端程式碼執行PHP伺服器
- 記一次排序導致的記憶體危機排序記憶體