【悟空云课堂】第十四期:使用已破解或危险的加密算法导致的漏洞(CWE-327: Use of a Broken or Risky Cryptographic Algorithm)
关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识!
该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。
【悟空云课堂】第十四期:使用已破解或危险的加密算法导致的漏洞(CWE-327: Use of a Broken or Risky Cryptographic Algorithm)
什么是使用已破解或危险的加密算法导致的漏洞?
使用已破解或者有风险的加密算法会产生软件风险,可能导致敏感信息暴露。使用非标准算法相对危险较高,因为恶意攻击者可能会利用该算法的漏洞进而危害任何受保护的数据。
使用已破解或危险的加密算法导致的漏洞构成条件有哪些?
满足以下条件,就构成了一个该类型的安全漏洞:
1、使用已破解或危险的加密算法进行加密。
使用已破解或危险的加密算法导致的漏洞会造成哪些后果?
关键词:读取应用程序数据;修改应用程序数据;隐藏活动;
使用已破解或危险的加密算法可能会危及敏感数据的机密性、完整性。
如果使用加密算法来确保数据源的身份(例如数字签名),那么使用已破解或危险的加密算法将危及该方案,并且无法证明数据的来源。
使用已破解或危险的加密算法导致的漏洞的防范和修补方法有哪些?
当需要存储或传输敏感数据时,使用强大的、最新的加密算法加密该数据。选择一个目前被该领域专家认为是强大的、经过仔细审查的算法,并使用经过充分测试的加密算法。
使用已破解或危险的加密算法导致的漏洞样例:
public class Weak_Encryption {static final Logger log = Logger.getLogger("local-logger");public String bad(){String data = "root"; /* init data */String sKey = "sKey";Cipher cipher = null;try {SecretKeySpec key = new SecretKeySpec(sKey.getBytes(), "DES");cipher = Cipher.getInstance("S"); //不安全的加密算法cipher.init(Cipher.DECRYPT_MODE, key);} catch (NoSuchPaddingException e) {log.info("error");} catch (NoSuchAlgorithmException e) {log.info("error");} catch (InvalidKeyException e) {log.info("InvalidKeyException");}//…用Wukong(悟空)软件代码安全检测修复系统检测上述程序代码,则可以发现代码中存在着“使用已破解或危险的加密算法” 导致的代码缺陷,如下图:
使用已破解或危险的加密算法在CWE中被编号为CWE-327: Use of a Broken or Risky Cryptographic Algorithm
更多的信息请参考CWE官网:http://cwe.mitre.org/data/definitions/327.html
了解更多安全资讯 请关注公众号 中科天齐软件安全中心
【悟空云课堂】第十四期:使用已破解或危险的加密算法导致的漏洞(CWE-327: Use of a Broken or Risky Cryptographic Algorithm)相关推荐
- 机器人按照给定的指令c语言,【高训工控】专业课堂第二十四期——工业机器人调试基础:程序的构造与组成...
原标题:[高训工控]专业课堂第二十四期--工业机器人调试基础:程序的构造与组成 大家好,欢迎来到[高训工控]专业课堂第二十四期,本期为大家带来--工业机器人调试基础:程序的构造与组成 在之前的文章中有 ...
- 【悟空云课堂】第二十六期:通过错误消息导致的信息暴露(CWE-209:Generation of Error Message Containing Sensitive Information)
关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...
- 【悟空云课堂】第十期:日志伪造漏洞(CWE-117: Improper Output Neutralization for Logs)
关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...
- 【悟空云课堂】第三十九期:违反信任边界(CWE-501: Trust Boundary Violation)
关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...
- 【悟空云课堂】第二十三期:对XML外部实体引用的不当限制(CWE-611 :Improper Restriction of XML External Entity Reference)
关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...
- 【悟空云课堂】第十二期:LDAP注入漏洞(CWE-90: Improper Neutralization of Special Elements used in an LDAP Query)
关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...
- 【悟空云课堂】第三十三期:表达式永假/永真(CWE-570:Expression is Always False)
关注公众号"中科天齐软件安全中心"(id:woocoom),一起涨知识! 该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效 ...
- 开发者论坛一周精粹(第十四期):CVE-2017-7529:Nginx敏感信息泄露
摘要: 2017年7月11日,Nginx官方发布最新的安全公告,漏洞CVE编号为CVE-2017-7529,该在nginx范围过滤器中发现了一个安全问题,通过精心构造的恶意请求可能会导致整数溢出并且不 ...
- 一门课程学习转录组调控分析和R可视化第十四期 (线上线下开课)
福利公告:为了响应学员的学习需求,经过易生信培训团队的讨论筹备,现决定安排扩增子16S分析.宏基因组.Python课程.转录组线上直播课.报名参加线上直播课的老师可在365天内选择参加同课程的一次线下 ...
最新文章
- 玩转飞书日历,体验高效办公!
- 目前最实用的机器学习算法,你认为是哪几种?
- vi php,linux编辑文件命令vi有什么作用
- 编码问题(BOM头简单了解)
- C#字符串处理(String与StringBuilder)
- OpenCV C++ 03 - Save an Image to a File
- IntelliJ Idea 常用12款插件(提高开发效率),附优秀主题插件
- Android操作系统手机遇冷 国外辉煌国内难现
- SVN仓库安装、备份和迁移基本操作
- 《强化学习》中的 时序差分学习 Temporal-Difference Learning (基于与动态规划 DP 、蒙特卡洛方法 MC 的对比)
- python应用程序实例_python中一个非常简单的异步应用程序
- php中is_scalar判断是否是标量
- 详解Java的IO流Part7:PrintStream打印流【完结】
- 怎么使用阿里巴巴矢量图标
- 树莓派安装Ubuntu系统
- java javaw 命令区别_java.exe和javaw.exe有什么区别
- 计算机中单位换算tb,计算机中容量单位B、KB、MB、GB和TB的关系
- 高通Thermal Overview之thermal-engine
- python批量改变图像大小
- 使用drawio画地图