Анализатор обнаружил, что в приложении используется устаревший алгоритм хеширования. Такие алгоритмы не считаются безопасными, поскольку имеют проблемы коллизий.
Уязвимости, связанные с использованием небезопасных алгоритмов шифрования, могут быть отнесены к следующей категории OWASP Top 10 2021:
Рассмотрим пример:
public String calculateHash(String input) {
MessageDigest digest = null;
try {
digest = MessageDigest.getInstance("MD5");
} catch (NoSuchAlgorithmException e) {
throw new RuntimeException(e);
}
var output = digest.digest(input.getBytes(StandardCharsets.UTF_8));
return Arrays.toString(output);
}При проверке фрагмента анализатор сформирует предупреждение о том, что использование алгоритмов SHA1 и MD5 не рекомендуется. В данном случае проблема алгоритмов состоит в наличии широко известных проблем с коллизией. Таким образом, его использование не является безопасным.
Вместо устаревших алгоритмов следует использовать более современные. В примере, представленном выше, одним из решений может быть замена SHA1 на SHA256:
public String calculateHash(String input) {
MessageDigest digest = null;
try {
digest = MessageDigest.getInstance("SHA-256");
} catch (NoSuchAlgorithmException e) {
throw new RuntimeException(e);
}
var output = digest.digest(input.getBytes(StandardCharsets.UTF_8));
return Arrays.toString(output);
}На сайте Oracle доступна документация по стандартным реализациям различных алгоритмов хеширования. В случае хеширования в спецификации Java SE 21 присутствуют следующие небезопасные по современным стандартам алгоритмы:
Стоит отметить, что JavaDoc по MessageDigest гарантирует наличие лишь алгоритмов SHA-1 и SHA-256 на каждой реализации Java platform. На версиях Java до 11 в этом списке также присутствует MD5.
На официальном сайте OWASP по ссылке представлены различные методики проверки приложения на наличие потенциальных уязвимостей, связанных с использованием небезопасных алгоритмов шифрования.