Устройства уязвимы для обхода аутентификации из-за недостатков в механизме авторизации. Неаутентифицированный удаленный злоумышленник может…
Устройства уязвимы для обхода аутентификации из-за недостатков в механизме авторизации. Неаутентифицированный удаленный злоумышленник может использовать эту слабость, выполняя атаки грубой силы, чтобы угадать действительные учетные данные или используя методы столкновения MD5 для создания хеш-ейстей аутентификации, потенциально компрометируя устройство.
Продукт использует алгоритм, формирующий дайджест (выходное значение), не соответствующий требованиям безопасности для хэш-функции, что позволяет злоумышленнику обоснованно восстановить исходные входные данные (атака на прообраз), найти другие входные данные с тем же хэшем (атака на второй прообраз) или найти несколько входных данных с одинаковым хэшем (атака «дня рождения»).
https://cwe.mitre.org/data/definitions/328.html →Открыть в коллекции CWE →Во многих языках программирования используются механизмы подписания кода для удостоверения идентичности кода и тем самым привязки кода к назначенным ему привилегиям в среде. Подрыв этого механизма может быть инструментом повышения привилегий злоумышленником. Любой способ обхода механизма контроля подписания кода виртуальной машиной квалифицируется как данный стиль атаки.
https://capec.mitre.org/data/definitions/68.html →Открыть в коллекции CAPEC →Злоумышленник использует слабость расширения/дополнения хеш-функции для изменения параметров, передаваемых веб-сервису при запросе аутентификации, генерируя собственный вызов с целью получения легитимной подписи (как описано в примечаниях) без знания секретного токена, который иногда предоставляется веб-сервисом.
https://capec.mitre.org/data/definitions/461.html →Открыть в коллекции CAPEC →