Запитання 1.1:
Назва: LDAP Account Manager (LAM)
Призначення та приклади користувачів: веб-інтерфейс для керування записами (наприклад, користувачами, групами, налаштуваннями DHCP), що зберігаються в каталозі LDAP, користувачі - люди які користуються каталогом LDAP
Запитання 1.2 (опис вразливостей):
Insufficiently Protected Credentials - Продукт передає або зберігає облікові дані автентифікації, але використовує незахищений метод, який чутливий до несанкціонованого перехоплення та/або вилучення.
Missing Encryption of Sensitive Data - Продукт не шифрує конфіденційну чи важливу інформацію перед зберіганням або передачею.
Запитання 1.3 (фрагменти уразливого коду):
Знайдено такі фрагменти коду:
function getHelp($module,$helpID,$scope='') {
…
$moduleObject = moduleCache::getModule($module, $scope);
…
public static function getModule($name, $scope) {
…
self::$cache[$name . ':' . $scope] = new $name($scope);
…
В тому числі за допомогою цього коду (використання конструкцій $_GET та new $name без належного опрацювання) можуть виникати вразливості
Запитання 2.1 (розшифрування алгоритму aria-128-cfb):
aria - назва алгоритму
128 - довжина ключа в бітах
cfb (cipher feedback) - режим роботи блочного шифрування, який використовується для перетворення блоків шифрування в псевдовипадкові біти, які потім використовуються для вироблення змішаного тексту.
Роки створення: 2003
Запитання 2.2 (переваги та недоліки алгоритму):
Переваги: має високу стійкість до атак, як теоретичних так і практичних (розробником була заявлена гарантована стійкість до лінійного та диференціального криптоаналізу); cfb режим забезпечує високу швидкість та ефективність
Недоліки: є складним алгоритмом, що ускладнює його реалізацію; cfb може бути схильний до атак з повторним використанням блоку (ctr).
oleksandrblazhko
commented
10 months ago
Запитання 1.1: Назва: LDAP Account Manager (LAM) Призначення та приклади користувачів: веб-інтерфейс для керування записами (наприклад, користувачами, групами, налаштуваннями DHCP), що зберігаються в каталозі LDAP, користувачі - люди які користуються каталогом LDAP
Запитання 1.2 (опис вразливостей):
Запитання 1.3 (фрагменти уразливого коду): Знайдено такі фрагменти коду:
В тому числі за допомогою цього коду (використання конструкцій $_GET та new $name без належного опрацювання) можуть виникати вразливості
Запитання 2.1 (розшифрування алгоритму aria-128-cfb): aria - назва алгоритму 128 - довжина ключа в бітах cfb (cipher feedback) - режим роботи блочного шифрування, який використовується для перетворення блоків шифрування в псевдовипадкові біти, які потім використовуються для вироблення змішаного тексту. Роки створення: 2003
Запитання 2.2 (переваги та недоліки алгоритму): Переваги: має високу стійкість до атак, як теоретичних так і практичних (розробником була заявлена гарантована стійкість до лінійного та диференціального криптоаналізу); cfb режим забезпечує високу швидкість та ефективність Недоліки: є складним алгоритмом, що ускладнює його реалізацію; cfb може бути схильний до атак з повторним використанням блоку (ctr).