信息化觀察網(wǎng)

01 什么是使用已破解或危險的加密算法導(dǎo)致的漏洞？

使用已破解或者有風(fēng)險的加密算法會產(chǎn)生軟件風(fēng)險，可能導(dǎo)致敏感信息暴露。使用非標(biāo)準(zhǔn)算法相對危險較高，因為惡意攻擊者可能會利用該算法的漏洞進(jìn)而危害任何受保護(hù)的數(shù)據(jù)。

02 使用已破解或危險的加密算法導(dǎo)致的漏洞構(gòu)成條件有哪些？

滿足以下條件，就構(gòu)成了一個日志偽造的安全漏洞：

1、使用已破解或危險的加密算法進(jìn)行加密。

03 使用已破解或危險的加密算法導(dǎo)致的漏洞會造成哪些后果？

關(guān)鍵詞：讀取應(yīng)用程序數(shù)據(jù)；修改應(yīng)用程序數(shù)據(jù)；隱藏活動

使用已破解或危險的加密算法可能會危及敏感數(shù)據(jù)的機(jī)密性、完整性。

如果使用加密算法來確保數(shù)據(jù)源的身份（例如數(shù)字簽名），那么使用已破解或危險的加密算法將危及該方案，并且無法證明數(shù)據(jù)的來源。

04 使用已破解或危險的加密算法導(dǎo)致的漏洞的防范和修補(bǔ)方法有哪些？

當(dāng)需要存儲或傳輸敏感數(shù)據(jù)時，使用強(qiáng)大的、最新的加密算法加密該數(shù)據(jù)。選擇一個目前被該領(lǐng)域?qū)＜艺J(rèn)為是強(qiáng)大的、經(jīng)過仔細(xì)審查的算法，并使用經(jīng)過充分測試的加密算法。

05 使用已破解或危險的加密算法導(dǎo)致的漏洞樣例：

用Wukong檢測上述程序代碼，則可以發(fā)現(xiàn)代碼中存在著“使用已破解或危險的加密算法” 導(dǎo)致的代碼缺陷，如下圖：

使用已破解或危險的加密算法在CWE中被編號為CWE-327: Use of a Broken or Risky Cryptographic Algorithm