Encryptie vaak onjuist geïmplementeerd
Daarbij bleken cryptografische missers de op een na meest voorkomende oorzaak van kwetsbaarheden, vaker optredend dan bijvoorbeeld gevoeligheid voor cross-site scripting, SQL-injectie of directory-doorgifte.
Ontwikkel-kits
Het onderzoek van Veracode richtte zich nadrukkelijk op het gebruik van standaard cryptografische modules, die worden meegeleverd met ontwikkel-kits voor Java en .NET. Juist door het ogenschijnlijke 'kant-en-klaar'-karakter van deze bibliotheken onderschatten software-engineers bijkomstige aandachtspunten die cruciaal zijn voor een waterdichte implementatie. Fouten die daarvan het gevolg zijn, zijn onder meer: onjuiste validering van de TLS-certificaten, vastlegging van gevoelige informatie in tekst, hard gecodeerde encryptysleutels, ontoereikende lengte van encryptiesleutels, ontoereikende entropie, niet-willekeurige initialisatie-vectoren en niet goed sluitende verificatie van cryptografische handtekeningen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee