fortify源代码扫描问题分析汇总 |
您所在的位置:网站首页 › 怎么修复源码 › fortify源代码扫描问题分析汇总 |
1、当使用AES128和AES256时,初始化向量必须是随机且不可预测的。例如,在Java中,“ java.util.Random”被视为弱随机数生成器。应该使用"java.security.SecureRandom”代替“ java.util.Random” 2、当在加密中使用RSA时,建议使用最佳非对称加密填充(OAEP)模式 3、在签名中使用RSA时,建议使用PSS填充 4、不应使用弱哈希/加密算法,例如MD5,RC4,DES,Blowfish,SHA1。1024位RSA或DSA,160位ECDSA(椭圆曲线),80/112位2TDEA(两个关键的三重DES) 5、最小密钥长度要求: 密钥交换:至少2048位的Diffie-Hellman密钥交换 消息完整性:HMAC-SHA2 消息哈希:SHA2 256位 对称加密:RSA 2048位 对称密钥算法:AES 128位 密码哈希:PBKDF2,Scrypt,Bcrypt ECDH,ECDSA: 256位 6、不应使用SSH,CBC模式 7、使用对称加密算法时,不应使用ECB(电子密码簿)模式 8、当PBKDF2用于哈希密码,迭代的参数,建议超过10000次迭代。另外,禁止将MD5哈希函数与PBKDF2WithHmacMD5等PBKDF2一起使用 详情参考:https://www.owasp.org/index.php/Testing_for_Weak_Encryption_(OTG-CRYPST-004) |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |