Thinbus Javascript Secure Remote Password — это реализация SRP6a в браузере для аутентификации без знания пароля. В версиях до 2.0.1 сущест…
Thinbus Javascript Secure Remote Password — это реализация SRP6a в браузере для аутентификации без знания пароля. В версиях до 2.0.1 существует ошибка, связанная с несоблюдением протокола, из-за чего клиент генерирует фиксированные 252 бита энтропии вместо предполагаемого размера безопасного простого числа (по умолчанию 2048 бит) [1]. Источники: - [1] https://github.com/simbo1905/thinbus-srp-npm/security/advisories/GHSA-8q6v-474h-whgg - [2] https://github.com/simbo1905/thinbus-srp-npm/issues/28 - [3] https://github.com/simbo1905/thinbus-srp-npm/pull/30/commits/4aeaea2366e090765a8204059c7bcf3616438d31
Продукт применяет алгоритм или схему, генерирующую недостаточную энтропию, оставляя паттерны или кластеры значений, более вероятных, чем другие.
https://cwe.mitre.org/data/definitions/331.html →Открыть в коллекции CWE →Данная атака направлена на предсказуемые идентификаторы сеанса с целью получения привилегий. Злоумышленник может предсказать идентификатор сеанса, используемый во время транзакции, и применить его для подделки личности и перехвата сеанса.
https://capec.mitre.org/data/definitions/59.html →Открыть в коллекции CAPEC →