Устройство использует слабый хеш-алгоритм для создания хеша пароля. Следовательно, совпадающий пароль может быть легко вычислен злоумышленн…
Устройство использует слабый хеш-алгоритм для создания хеша пароля. Следовательно, совпадающий пароль может быть легко вычислен злоумышленником. Это влияет на безопасность и целостность устройства.
Продукт использует алгоритм, формирующий дайджест (выходное значение), не соответствующий требованиям безопасности для хэш-функции, что позволяет злоумышленнику обоснованно восстановить исходные входные данные (атака на прообраз), найти другие входные данные с тем же хэшем (атака на второй прообраз) или найти несколько входных данных с одинаковым хэшем (атака «дня рождения»).
https://cwe.mitre.org/data/definitions/328.html →Открыть в коллекции CWE →Во многих языках программирования используются механизмы подписания кода для удостоверения идентичности кода и тем самым привязки кода к назначенным ему привилегиям в среде. Подрыв этого механизма может быть инструментом повышения привилегий злоумышленником. Любой способ обхода механизма контроля подписания кода виртуальной машиной квалифицируется как данный стиль атаки.
https://capec.mitre.org/data/definitions/68.html →Открыть в коллекции CAPEC →Злоумышленник использует слабость расширения/дополнения хеш-функции для изменения параметров, передаваемых веб-сервису при запросе аутентификации, генерируя собственный вызов с целью получения легитимной подписи (как описано в примечаниях) без знания секретного токена, который иногда предоставляется веб-сервисом.
https://capec.mitre.org/data/definitions/461.html →Открыть в коллекции CAPEC →