01 什么是使用已破解或危险的加密算法导致的漏洞?
使用已破解或者有风险的加密算法会产生软件风险,可能导致敏感信息暴露。使用非标准算法相对危险较高,因为恶意攻击者可能会利用该算法的漏洞进而危害任何受保护的数据。
02 使用已破解或危险的加密算法导致的漏洞构成条件有哪些?
满足以下条件,就构成了一个日志伪造的安全漏洞:
1、使用已破解或危险的加密算法进行加密。
03 使用已破解或危险的加密算法导致的漏洞会造成哪些后果?
关键词:读取应用程序数据;修改应用程序数据;隐藏活动
使用已破解或危险的加密算法可能会危及敏感数据的机密性、完整性。
如果使用加密算法来确保数据源的身份(例如数字签名),那么使用已破解或危险的加密算法将危及该方案,并且无法证明数据的来源。
04 使用已破解或危险的加密算法导致的漏洞的防范和修补方法有哪些?
当需要存储或传输敏感数据时,使用强大的、最新的加密算法加密该数据。选择一个目前被该领域专家认为是强大的、经过仔细审查的算法,并使用经过充分测试的加密算法。
05 使用已破解或危险的加密算法导致的漏洞样例:
用Wukong检测上述程序代码,则可以发现代码中存在着“使用已破解或危险的加密算法” 导致的代码缺陷,如下图:
使用已破解或危险的加密算法在CWE中被编号为CWE-327: Use of a Broken or Risky Cryptographic Algorithm
