User Tools

Site Tools


ja:rule:enc:ハッシュ値取得に文字列連結をしない

ハッシュ値取得に文字列連結をしない

ハッシュ値を取得する場合に鍵またはsaltとなる情報とデータを文字列連結すると、ハッシュの分析を許してしまう。リスクを軽減するためには鍵またはsaltとなる情報とデータを文字列連結しない。

非適合コード例

$key = 'random key';
$data = 'Some Data';
$hash = hash('sha2-256', $data . $key);

適合コード例

$key = 'random key';
$data = 'Some Data';
$hash = hash_hmac('sha2-256', $data , $key);

例外

hash_hkdf()の$info引数はハッシュのセキュリティに影響しない引数として設計されている。このため、$info引数にはどのような値を設定してもよい。

リスク評価

[ルール/推奨事項のリスク評価]

[評価例 - 英語表記に統一]

Rule Severity Likelihood Remediation Cost Priority Level
IDS05-J medium unlikely medium P4 L3

関連ガイドライン

参考文献

ja/rule/enc/ハッシュ値取得に文字列連結をしない.txt · Last modified: 2017/06/29 09:39 by yohgaki

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki