不安全的Random

最新推荐文章于 2024-10-11 10:15:00 发布
原创 最新推荐文章于 2024-10-11 10:15:00 发布 · 1.8k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

jdk自带的Random生成随机数放在生产环境是不安全的,存在暴力破解的风险,并且虽然其实线程安全的,但可能发生线程竞争降低效率。

随机类是否线程安全特点
Random如果两个(多个)不同的Random实例,使用相同的seed,按照相同的顺序调用相同方法,那么它们得到的数字序列也是相同的。这看起来不太随机。 这种设计策略,既有优点也有缺点,优点是“相同seed”生成的序列是一致的,使过
ThreadLocalRandom如果多个线程初始ThreadLocalRandom的时间完全一致,在调用方法和过程相同的情况下,产生的随机序列也是相同的;在一定程度上“-Djava.util.secureRandom=true”可以规避此问题
SecureRandom继承自Random,该类提供加密强随机数生成器(RNG),加密强随机数最低限度符合FIPS 140-2“加密模块的安全要求”。此外,SecureRandom必须产生非确定性输出。因此,传递给SecureRandom对象的任何种子材料必须是不可预测的,并且所有SecureRandom输出序列必须具有加密强度。
SplittableRandom适用于Fork/join形式的跨线程操作中,具有相同seed的不同SplittableRandom实例或者同一个SplittableRandom,多次运行结果是一致的。这和Random是一致的
Java Random可破解,随机数再随机,更安全
weixin_54542328的博客
10-21 2011
要再用 ~Random~
代码审计中的问题(安全随机数)
m0_52973251的博客
11-29 893
Fortify漏洞:Insecure Randomness(安全随机数)指的是代码中使用了安全或弱随机数生成器导致的安全漏洞。随机数在密码学应用、加密和解密等领域中经常被使用,如果生成的随机数够随机或够复杂,则会使得攻击者可以轻易地猜出生成的随机数,从而对系统造成威胁。因此,在安全敏感的应用中,必须使用安全的随机数生成器。下面说的就是弱随机数,因为他通过时间戳相近会使随机数被限定在一个小范围内。
bug:进行安全漏洞扫描被报Insecure Randomness:标准的伪随机数值生成器能抵挡各种加密攻击。
奶绿走糖的博客
04-11 1774
是统计学的 PRNG,攻击者很容易猜到其生成的字符串。推荐使用密码学的PRNG。在 JavaScript 中,常规的建议是使用 Mozilla API 中的。后,再用了一些手段处理这个随机数,还是被安全漏洞报警。被安全漏洞扫描出high等级的漏洞。
Fortify漏洞之Insecure Randomness(安全随机数)
arkqyo2595的博客
06-05 2819
  继续对Fortify的漏洞进行总结,本篇主要针对 Insecure Randomness 漏洞进行总结,如下: 1、Insecure Randomness(安全随机数) 1.1、产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。...
解决Fortify漏洞:Insecure Randomness(安全随机数)
林夕
06-05 3160
SecureRandom类是Java提供的安全随机数生成器。它利用了操作系统提供的真正随机数种子源,以及其他随机性产生器,生成更加随机和复杂的随机数。使用SecureRandom类生成随机数时,请勿使用默认构造函数,因为它将基于本地时间作为种子生成伪随机数。相反,请使用带有种子参数的构造函数或getInstance()方法创建一个安全的随机数生成器。,需要使用一个安全的随机数生成器来替换当前使用的安全的随机数生成器。Java中提供了一些安全的随机数生成器,如。
Java 中的 SecureRandomRandom 深度解析:安全性、性能与应用场景
WenZhang的博客
10-11 1985
对于性能优先、对安全性没有严格要求的场景,Random是首选。对于安全性至关重要的场景(如加密、身份认证),毫犹豫地选择。
Random_Numbers_Android-master_randomnumbers_random_androidstudio
09-30
7. **加密与安全**:如果涉及到`SecureRandom`,则可能讨论了安全随机数的生成,这对于密码学和安全相关的应用至关重要。 在Android Studio环境下,这些示例通常会以Activity的形式存在,每个Activity演示一种...
random bit generator_RandomNumber_random_源码
10-01
通过深入理解这些概念,我们可以创建出更安全、更可预测的随机数生成器。在实际应用中,这样的随机比特生成器可能用于加密算法,提供更高的安全性。同时,由于混沌系统在数学上的复杂性,它们的随机数生成方法也为...
random
03-31
比如,`random.randint(a, b)`可以生成a和b之间(包括a和b)的一个整数,`random.random()`则会返回0到1之间(包括1)的一个浮点数。此外,还有`random.choice()`用于从列表、元组等序列类型中随机选择一个元素,`...
jdk默认random安全替代方案
qq_34597894的博客
07-04 1996
默认random的随机数生成方案经官方测试是够随机的,并有安全暴力猜测的安全风险,对于安全较高,并且吞吐量要求较低的一般性金融类系统,推荐使用。实现源码如下: 默认是SHA1的算法,我换成了稍稍优化的非阻塞算法PRNG,这也是官方推荐的 SHA-1应该是安全的,贴一篇博文有兴趣的可以看一下 https://www.cnblogs.com/merlindu/p/6545588.htm...
记录一次问题排查过程:Random线程安全导致的CPU满
北亮的专栏
03-21 1326
先写结论 System.Random是线程安全的,要避免使用单例,或者进行加锁操作。参考: https://docs.microsoft.com/en-us/dotnet/api/system.random 这里有一句话:If you don’t ensure that the Random object is accessed in a thread-safe way, calls to me...
Insecure Randomness引发对随机数生成器抵挡加密攻击的方法
Ashes
09-26 4627
一、由nextInt()实施的随机数生成器能抵挡加密攻击 1、安全的随机数:电脑是一种具有确定性的机器,因此可能产生真正的随机性。伪随机数生成器 (PRNG)  近似于随机算法,始于一个能计算后续数值的种子。 2、PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料, 但其输出结果很容易预测,因此数据流容易复制。若
java由nextint()实施的随机数生成器能抵挡加密攻击,Fortify漏洞之Insecure Randomness(安全随机数)...
weixin_39602005的博客
03-22 2001
继续对Fortify的漏洞进行总结,本篇主要针对Insecure Randomness漏洞进行总结,以下:html一、Insecure Randomness(安全随机数)1.一、产生缘由:成弱随机数的函数是 random()。java电脑是一种具备肯定性的机器,所以可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。算法PRNG 包括两种类型:...
csrf java随机数_安全的随机数
weixin_42399813的博客
02-25 1261
代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。1.漏洞描述随机数在计算机应用中使用的比较广泛,最为熟知的便是在密码学中的应用。随机数分为真随机数和伪随机数,我们程序使用的基本都是伪随机数。伪随机又分为强...
【web漏洞百例】3.Sql注入、安全的随机数
程序猿之洞
03-28 5553
一、Sql注入 描述: 通过可信来源的输入构建动态SQL指令,攻击者就能够修改指令的含义或者执行任意SQL命令。 举例: Sql注入错误会在以下情况发生 1.数据从一个可信赖的数据源进入程序。 2.数据用于动态地构造一个SQL语句 使用Java的MyBatis/iBatis框架可以指定SQL指令中的动态参数,通常使用#字符来定义它们,如: SELECT * F
前端解决客户端安全随机数
Innocence_0的博客
03-12 1427
前端项目在安全漏洞扫描的时候,爆出了客户端安全随机数的问题,看了下代码是因为使用了 Math.random() 生成随机数造成的。百度了一下,math.random()并是真的随机数,而是伪随机数!
【Java代码审计】失效认证及安全随机数篇
wangluoanquan111的博客
01-28 2135
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。一般来说,验证码是与Session绑定的,Session生成时,也伴随着验证码的生成和绑定,在访问页面时,接口的请求和验证码的生成通常是异步进行的,这使得两个功能变得相对独立。确保使用强大的、可预测的密钥来计算服务器上的 HMAC 签名。
random安全随机数
最新发布
05-23
在 Python 中,`random` 模块提供了生成随机数的功能。然而,当涉及到安全相关的场景(如密码学、会话管理等),普通的 `random` 模块可能安全,因此需要使用更安全的随机数生成方法。 Python 提供了 `secrets` 模块,专门用于生成安全性更高的随机数。以下是关于如何使用 `secrets` 模块生成安全随机数的详细说明和代码示例。 --- ### 1. 生成安全随机整数 ```python import secrets # 生成一个范围内的安全随机整数 secure_random_int = secrets.randbelow(100) # 生成 [0, 100) 范围内的随机整数 print(f"Secure random integer: {secure_random_int}") ``` **解释**: `secrets.randbelow(n)` 函数生成一个范围在 `[0, n)` 内的安全随机整数。与 `random.randint` 同,`secrets.randbelow` 更适合用于安全敏感的场景。 --- ### 2. 生成安全随机比特串 ```python import secrets # 生成一个指定长度的随机比特串 secure_random_bits = secrets.randbits(16) # 生成 16 位的随机整数 print(f"Secure random bits (16-bit integer): {secure_random_bits}") ``` **解释**: `secrets.randbits(k)` 函数生成一个 k 位长的随机整数。例如,`secrets.randbits(16)` 会生成一个介于 0 和 65535 之间的随机整数。 --- ### 3. 从序列中选择安全随机元素 ```python import secrets # 从列表中选择一个安全随机元素 choices = ['a', 'b', 'c', 'd'] secure_choice = secrets.choice(choices) print(f"Secure random choice: {secure_choice}") ``` **解释**: `secrets.choice(seq)` 函数从给定的序列中选择一个元素。与 `random.choice` 同,`secrets.choice` 使用了更安全的随机数生成器。 --- ### 4. 生成安全随机令牌 ```python import secrets # 生成一个 URL 安全的随机令牌 secure_token_urlsafe = secrets.token_urlsafe(16) # 生成一个 16 字节的 URL 安全令牌 print(f"Secure URL-safe token: {secure_token_urlsafe}") # 生成一个十六进制格式的随机令牌 secure_token_hex = secrets.token_hex(16) # 生成一个 16 字节的十六进制令牌 print(f"Secure hexadecimal token: {secure_token_hex}") # 生成一个字节格式的随机令牌 secure_token_bytes = secrets.token_bytes(16) # 生成一个 16 字节的字节令牌 print(f"Secure byte token: {secure_token_bytes}") ``` **解释**: - `secrets.token_urlsafe(nbytes)` 返回一个 URL 安全的字符串,适合用作临时令牌。 - `secrets.token_hex(nbytes)` 返回一个十六进制格式的字符串,适合用于加密密钥或哈希值。 - `secrets.token_bytes(nbytes)` 返回一个字节对象,适合直接用于二进制数据处理。 --- ### 5. 比较普通随机数和安全随机数 ```python import random import secrets # 普通随机数 normal_random_int = random.randint(0, 99) print(f"Normal random integer: {normal_random_int}") # 安全随机数 secure_random_int = secrets.randbelow(100) print(f"Secure random integer: {secure_random_int}") ``` **解释**: - `random.randint(a, b)` 是基于伪随机数生成器的,容易被预测,适合用于安全场景。 - `secrets.randbelow(n)` 使用操作系统提供的随机源,更难被预测,适用于安全场景。 --- ### 总结 上述代码展示了如何使用 Python 的 `secrets` 模块生成安全随机数。相比于 `random` 模块,`secrets` 模块更适合用于密码学、会话管理等安全敏感的应用场景。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值