DerScanner
Home / Vulnerability Database / Objective-C : Insufficient number of iterations
Objective-C

Objective-C : Insufficient number of iterations

Classification

OWASP Top 10 2013
A6-Sensitive Data Exposure
OWASP Top 10 2017
A3-Sensitive Data Exposure
OWASP Top 10 2021
A2-Cryptographic FailuresA4-Insecure Design
OWASP MASVS
V3: 3.3.(L1/L2/L1+R/L2+R)V8: 8.13.(L1+R/L2+R)
OWASP ASVS
Stored CryptographyStored CryptographyAuthenticationAuthenticationAuthenticationAuthenticationAuthenticationAuthentication
PCI DSS 4.0
3.6.16.2.48.3.2
HIPAA
§164.312 (a)(2)(iv)
CWE
CWE-326CWE-1032

Overview

Функция формирования ключей на основе паролей использует слишком мало итераций.

Функция формирования ключа (KDF) использует один или несколько секретных ключей на основе секретного значения (главный ключ, пароль или парольная фраза) с использованием псевдослучайной функции. В качестве параметров также используются значения соли и числа итераций. В достаточном числе итераций используется алгоритм стойкости. Если число итераций мало, вероятность обнаружения может быть использована “радужные таблицы” для получения результатов хэшированных паролей.

Уязвимости типа “утечка конфиденциальных данных” (разоблачение конфиденциальных данных) занимает третье место в рейтинге уязвимостей веб-приложений OWASP Top 10 2017.

References

  1. OWASP: Top 10 2013-A6-Sensitive Data Exposure
  2. CWE-916: Use of Password Hash With Insufficient Computational Effort
  3. OWASP: Top 10 2017-A3-Sensitive Data Exposure
  4. PKCS #5: Password-Based Cryptography Specification
  5. CWE-326
  6. CWE CATEGORY: OWASP Top Ten 2017 Category A6 - Security Misconfiguration
  7. crypto.pbkdf2
  8. Bleichenbacher’s attack
MEDIUM

DerScanner Severity Score

Do you want to fix Objective-C : Insufficient number of iterations in your application?

See also

Objective-C

Objective-C : Internal information leak

Objective-C

Objective-C : Weak hashing algorithm

Objective-C

Objective-C : Unsafe reflection