Fortify漏洞之Insecure Randomness(不安全随机数)

最新推荐文章于 2024-01-28 11:30:00 发布
最新推荐文章于 2024-01-28 11:30:00 发布
阅读量2.6k 收藏 3
点赞数
文章标签: 前端 移动开发 密码学 ViewUI
原文链接:http://www.cnblogs.com/meInfo/p/9141948.html
版权
本文详细介绍了Fortify中的Insecure Randomness漏洞,分析了产生原因,提出修复方案,强调在需要不可预测性时应使用密码学的PRNG,如Java的SecureRandom,并给出开发规范建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  继续对Fortify的漏洞进行总结,本篇主要针对  Insecure Randomness  漏洞进行总结,如下:

1、Insecure Randomness(不安全随机数)

1.1、产生原因:

  成弱随机数的函数是 random()。 

  电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。 

  PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制。若安全性取决于生成数值的不可预测性,则此类型不适用。密码学的 PRNG 通过可产生较难预测的输出结果来应对这一问题。为了使加密数值更为安全,必须使攻击者根本无法、或极不可能将它与真实的随机数加以区分。通常情况下,如果并未声明 PRNG 算法带有加密保护,那么它有可能就是一个统计学的 PRNG,不应在对安全性要求较高的环境中使用,其中随着它的使用可能会导致严重的漏洞(如易于猜测的密码、可预测的加密密钥、会话劫持攻击和 DNS 欺骗)。

 

示例: 下面的代码可利用统计学的 PRNG 为购买产品后仍在有效期内的收据创建一个 URL。

String GenerateReceiptURL(String baseUrl) {

  Rand

最低0.47元/天 解锁文章
arkqyo2595
关注
csrf java随机数_安全随机数
weixin_42399813的博客
02-25 1192
代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。1.漏洞描述随机数在计算机应用中使用的比较广泛,最为熟知的便是在密码学中的应用。随机数分为真随机数和伪随机数,我们程序使用的基本都是伪随机数。伪随机又分为强...
bug:进行安全漏洞扫描被报Insecure Randomness:标准的伪随机数值生成器能抵挡各种加密攻击。
奶绿走糖的博客
04-11 1577
是统计学的 PRNG,攻击者很容易猜到其生成的字符串。推荐使用密码学的PRNG。在 JavaScript 中,常规的建议是使用 Mozilla API 中的。后,再用了一些手段处理这个随机数,还是被安全漏洞报警。被安全漏洞扫描出high等级的漏洞
解决Fortify漏洞Insecure Randomness安全随机数
林夕
06-05 2862
SecureRandom类是Java提供的安全随机数生成器。它利用了操作系统提供的真正随机数种子源,以及其他随机性产生器,生成更加随机和复杂的随机数。使用SecureRandom类生成随机数时,请勿使用默认构造函数,因为它将基于本地时间作为种子生成伪随机数。相反,请使用带有种子参数的构造函数或getInstance()方法创建一个安全随机数生成器。,需要使用一个安全随机数生成器来替换当前使用的安全随机数生成器。Java中提供了一些安全随机数生成器,如。
Insecure Randomness
lijunlinlijunlin的专栏
04-29 4909
ABSTRACT 标准的伪随机数生成器能抵挡各种加密攻击。 EXPLANATION 在对安全性要求较高的环境中,使用一个能产生可预测数值的函数作为随机数据源,会产生 Insecure Randomness 错误。 电脑是一种具有确定性的机器,因此可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。 PRNG 包括两种类型:统计学的
Fortify-Insecure Randomness
烎烎的博客
07-06 667
Insecure Randomness安全随机数) 无厘头:本是青灯归客 却因浊酒留风尘。星光问赶路人,岁月负有心人。 漏洞级别:高 产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。   PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制。若..
代码审计Forfity常见扫描 漏洞原理与修复意见介绍
12-22
2. 安全随机数Insecure Randomness安全随机数是一种常见的漏洞,它发生在代码中使用了安全随机数生成算法,例如使用了 `rand` 函数来生成随机数。这种漏洞可能会导致攻击者猜测随机数,从而实施...
Insecure Randomness 和 Use of Cryptographically Weak PRNG 解决方案
起止洺的博客
12-26 2744
Insecure Randomness 和Use of Cryptographically Weak PRNG 其实是同一种漏洞,Insecure Randomness是由Fortify扫描出来的,Use of Cryptographically Weak PRNG是CheckMarx扫描出来的. 他们其实都是安全随机数漏洞. 下面是Fortify漏洞的描述: 描述 标准的伪随机数值生成器...
代码审计中的问题(安全随机数)
m0_52973251的博客
11-29 449
Fortify漏洞Insecure Randomness安全随机数)指的是代码中使用了安全或弱随机数生成器导致的安全漏洞随机数密码学应用、加密和解密等领域中经常被使用,如果生成的随机数够随机或够复杂,则会使得攻击者可以轻易地猜出生成的随机数,从而对系统造成威胁。因此,在安全敏感的应用中,必须使用安全随机数生成器。下面说的就是弱随机数,因为他通过时间戳相近会使随机数被限定在一个小范围内。
Insecure Randomness引发对随机数生成器抵挡加密攻击的方法
Ashes
09-26 4460
一、由nextInt()实施的随机数生成器能抵挡加密攻击 1、安全随机数:电脑是一种具有确定性的机器,因此可能产生真正的随机性。伪随机数生成器 (PRNG)  近似于随机算法,始于一个能计算后续数值的种子。 2、PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料, 但其输出结果很容易预测,因此数据流容易复制。若
安全的Random
Pure_Eyes的博客
06-26 1737
jdk自带的Random生成随机数放在生产环境是安全的,存在暴利破解的风险,并且虽然其实线程安全的,但可能发生线程竞争降低效率。 考虑并发性能时可采用ThreadLocalRandom 考虑高安全性时可采用SecureRandom ...
【Java代码审计】失效认证及安全随机数
最新发布
wangluoanquan111的博客
01-28 2040
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。一般来说,验证码是与Session绑定的,Session生成时,也伴随着验证码的生成和绑定,在访问页面时,接口的请求和验证码的生成通常是异步进行的,这使得两个功能变得相对独立。确保使用强大的、可预测的密钥来计算服务器上的 HMAC 签名。
java由nextint()实施的随机数生成器能抵挡加密攻击,Fortify漏洞Insecure Randomness安全随机数)...
weixin_39602005的博客
03-22 1908
继续对Fortify漏洞进行总结,本篇主要针对Insecure Randomness漏洞进行总结,以下:html一、Insecure Randomness(安全随机数)1.一、产生缘由:成弱随机数的函数是 random()。java电脑是一种具备肯定性的机器,所以可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。算法PRNG 包括两种类型:...
Fortify漏洞Insecure Randomness安全随机数
七一
05-17 442
在对安全性要求较高的环境中,使用能够生成可预测值的函数作为随机数据源,会产生 Insecure Randomness 错误。为保证值的加密安全性,必须使攻击者根本无法、或几乎可能鉴别生成的随机值和真正的随机值。通常情况下,如果并未声明 PRNG 算法带有加密保护,那么它很可能就是统计学的 PRNG,因此应在对安全性要求较高的环境中使用,否则会导致严重的漏洞(如易于猜测的密码、可预测的加密密钥、Session Hijacking 和 DNS Spoofing)。
【web漏洞百例】3.Sql注入、安全随机数
程序猿之洞
03-28 5367
一、Sql注入 描述: 通过可信来源的输入构建动态SQL指令,攻击者就能够修改指令的含义或者执行任意SQL命令。 举例: Sql注入错误会在以下情况发生 1.数据从一个可信赖的数据源进入程序。 2.数据用于动态地构造一个SQL语句 使用Java的MyBatis/iBatis框架可以指定SQL指令中的动态参数,通常使用#字符来定义它们,如: SELECT * F
[20][03][18] Insecure Randomness
安全新司机
12-26 1311
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 在使用随机数函数时,经常使用 java.util.Random,其使用的是伪随机数生成器(PRNG) 近似于随机算法 PRNG 包括两种类型 统计学的 PRNG 密码学的 PRNG 统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制.若安全性取决于生成数值的可预测性,则此类型适用 密码学的 PRNG 通过可产生较难预测的输出结果来应对这一问题.为了使加密数值更为安全,必须使攻击者根本无法,或极可能
Java Random可破解,随机数再随机,更安全
weixin_54542328的博客
10-21 1812
要再用 ~Random~
解决高危问题Insecure Randomness:安全随机性
emmmeat的博客
11-10 446
我们向甲方部署一个ssm项目时,甲方要求出具一些列测试报告,包括源代码安全审计测试缺陷报告单,其中有一个问题是高危问题Insecure Randomness:安全随机性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值