CWE ID 338：Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG)

最新推荐文章于 2024-07-16 22:08:51 发布

豹仔頭Aron࿐

最新推荐文章于 2024-07-16 22:08:51 发布

阅读量2.1k

点赞数 1

分类专栏： CWE 文章标签： java

本文链接：https://blog.csdn.net/Aron2278/article/details/119321367

版权

博客探讨了CWE ID 338问题，指出在安全场景中使用加密性不强的伪随机数生成器（PRNG）的风险。提供了Java 8中如何利用SecureRandom类的CSPRNG功能来改进，建议依赖操作系统的默认实现，避免显式播种，以确保更好的安全性。

摘要由CSDN通过智能技术生成

问题描述
产品在安全上下文中使用了伪随机数生成器（PRNG），但加密性不强。

Bad Code

// ANTI-PATTERN, do not copy-paste
// On windows, default constructor would pick SHA1PRNG algorithm.
SecureRandom random1 = new SecureRandom() ; // unseeded random object
random1.setSeed(System.currentTimeMillis

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

豹仔頭Aron࿐

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

Insecure Randomness 和 Use of Cryptographically Weak PRNG 解决方案

起止洺的博客

12-26

2665

Insecure Randomness 和Use of Cryptographically Weak PRNG 其实是同一种漏洞,Insecure Randomness是由Fortify扫描出来的,Use of Cryptographically Weak PRNG是CheckMarx扫描出来的. 他们其实都是不安全的随机数漏洞. 下面是Fortify对漏洞的描述: 描述标准的伪随机数值生成器...

[XJTU计算机网络安全与管理]——第六讲伪随机数，流密码，哈希

weixin_47692652的博客

06-05

2662

[XJTU计算机网络安全与管理]——第六讲伪随机数，流密码，哈希

参与评论您还未登录，请先登录后发表或查看评论

(OWASP)(笔记)(代码审计)OWASP TOP TEN 2021

最新发布

aaaadoga的博客

07-16

824

这篇文章是关于作者学习2021版owasp top 10的笔记在我个人看来，了解这份报告，一个目的是为了面试（笑），另一个目的是方便确定代码审计的切入点，关于这一点，我在文章最后进行了一个总结，这个总结可能不够全面，哪位朋友有意见或疑惑可以留言或联系在学习了这一份报告后，我们在审计一个项目时，可以考虑从以下方面入手系统的访问控制机制系统提供的api是否能接受不同的http方法的请求？系统的CORS配置是什么？有无漏洞？能不能直接访问系统的后台界面？系统的认证和授权框架。

randoma是用户友好的伪随机数生成器PRNG

08-08

randoma 是用户友好的伪随机数生成器（PRNG）

伪随机数的产生和流密码

GeneralAndroid的专栏

06-11

9286

能够应用到大量密码函数的一种功能是随机或伪随机数的产生。对这个功能的要求是产生的数据流必须不能预测。流密码是对称密码算法，从明文输入流逐位或逐字节产生密文输出。使用最为广泛的此类密码是RC4。一个重要的密码函数是具有强密码学意义的伪随机数发生器。伪随机数发生器(PRNG)在许多密码和安全应用中有使用。伪随机数发生器(PRNG)真随机数发生器(TRNG)在网络安全的各种应用里，随机数在加密算法中扮演...

golangci-lint

云满笔记

10-27

7864

标题1. golangci-lintgolangci-lintgolangci-lint 使用禁用 lint 检查Linter常用的 Linter 介绍 1. golangci-lint golangci-lint Golang 常用的 checkstyle 有 golangci-lint 和 golint, 今天我们主要介绍 golangci-lint, golangci-lint 用于许多开源项目中, 比如 kubernetes、Prometheus、TiDB 等都使用 golangci-lint 用于

CWE ID 259：Use of Hard-coded Password

Aron2278的博客

08-13

1534

问题描述硬编码密码，是指在程序中采用硬编码方式处理密码。这种处理方式不易于程序维护，在程序投入使用后，无法在不手动修改程序或以其他方式修补软件的情况下更改或禁用它，一旦密码泄露，知道该密码的任何人都可以访问该程序。另一方面，硬编码密码意味着如果攻击者能够访问应用程序的字节码，利用一些反编译工具，也可以轻易获得密码。 Bad Code String userName = "root"; String password = "123456"; Connection conn = DriverManager

【悟空云课堂】第七期：不安全的反射漏洞（CWE-470: Use of Externally-Controlled Input to Select Classes or Code）

Tianqi_Wukong的博客

01-20

645

【悟空云课堂】第七期：不安全的反射漏洞什么是不安全的反射漏洞？反射这一概念最早由编程开发人员Smith在1982年提出，主要指应用程序访问、检测、修改自身状态与行为的能力。这一概念的提出立刻吸引了编程界的极大关注，各种研究工作随之展开，随之而来引发编程革命，出现了多种支持反射机制的面向对象编程语言。 *在Java编程语言中，Java反射机制主要提供了以下功能： *在运行时判断任意一个对象所属的类； *在运行时构造任意一个类的对象； *在运行时判断任意一个类所具有的成员变量和方法； *在运行时调用任意一个

【悟空云课堂】第十六期：使用不安全的随机值漏洞（CWE-330: Use of Insufficiently Random Values）

Tianqi_Wukong的博客

01-20

1166

【悟空云课堂】第十四期：使用不安全的随机值漏洞什么是使用不安全的随机值？软件依赖于不可预测的数值使用了不充分的随机数导致的安全性降低。 **产生原因：**计算机是一种按照既定算法运行的机器，因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法，始于一个能计算后续数值的种子。 PRNG包括两种类型：统计学的PRNG和密码学的PRNG。统计学的PRNG可提供有用的统计资料，但其输出结果很容易预测，因此数据流容易复制。若安全性取决于生成数值的不可预测性，则此类型不适用。密码学的PRNG通过

【悟空云课堂】第四十一期：CSRF跨站伪造攻击-CWE-352: Cross-Site Request Forgery (CSRF)

Tianqi_Wukong的博客

04-02

854

关注公众号“中科天齐软件安全中心”（id：woocoom），一起涨知识！该栏目为中科天齐全新规划的悟空云课堂，每周五下午18:00准时上线，旨在科普软件安全相关知识，助力企业有效防范软件安全漏洞，提升网络安全防护能力。【悟空云课堂】第四十一期：CSRF跨站伪造攻击-CWE-352: Cross-Site Request Forgery (CSRF) 01 什么是csrf漏洞？ CSRF跨站请求伪造，主要表现为：攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是.

golang——随机数（math/rand包与crypto/rand包）

weixin_30594001的博客

06-14

1580

1、math/rand 包 1.1、math/rand 包实现了伪随机数生成器 1.2、主要方法（1）func Seed(seed int64) 设置随机种子，不设置则默认Seed(1) （2）func Int() int 返回一个非负的伪随机int值（3）func Int31() int32 返回一个int32类型的非负的31位伪随机数（4）func Int63() in...

Random函数的安全性问题与SecureRandom

weixin_30699465的博客

08-12

313

电脑是一种具有确定性的机器，因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法，始于一个能计算后续数值的种子。PRNG 包括两种类型：统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 提供很多有用的统计属性，但其输出结果很容易预测，因此容易复制数值流。在安全性所依赖的生成值不可预测的情况下，这种类型并不适用。密码学的 PRNG 生成的...

js 灰度图转成白色透明图

jdk137的专栏

05-19

3万+

网上需要一些星光的图片，但是下载下来是这个黑白图。需要转化成透明背景的白色星光图。 codepen在线示例原图：效果图： <!DOCTYPE html> <html> <head> <style> body { background: red; } canvas { display: inline-block;

vue嵌入app中——首次加载慢的动画

热门推荐

未来以来 futureToday

02-25

46万+

背景：项目首次加载过慢，需要下载的资源比较大；白屏时间过长，导致用户体验不好；解决办法：index.html 下载完，（首页下载完）就像执行动画伸手党代码：加粗样式 <script> //在页面未加载完毕之前显示的loading Html自定义内容 var _LoadingHtml = ` <div id="loadingDiv" style="position:absolute;left:50%;top:50%;margin-left:-35px;margi

根据error_log发现图片木马，被上传到图片文件夹

az12az12的博客

05-04

4万+

发现图片木马： [18-Apr-2019 09:26:26 Etc/GMT] PHP Warning: file_get_contents(http://23.252.161.21:8686/8group/a.jpg): failed to open stream: Connection timed out in /home/xydsjkfz/public_html/uploads/allimg...

Java基础——Java代码开发预防漏洞整理

ddm

04-29

997

1、打印一个一次性文件及其堆栈跟踪到某个流。默认情况下，该stream System.Err可能会无意中公开敏感信息。应该使用记录器来打印一次性文件，因为它们有许多优点：用户可以轻松地检索日志。日志消息的格式是统一的，允许用户轻松浏览日志。如果使用printStackTrace时没有参数，即堆栈跟踪打印到默认流时，此规则会引发问题。 Noncompliant Code Example t...

Insecure Randomness引发对随机数生成器抵挡加密攻击的方法

Ashes

09-26

4344

一、由nextInt()实施的随机数生成器不能抵挡加密攻击 1、不安全的随机数：电脑是一种具有确定性的机器，因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法，始于一个能计算后续数值的种子。 2、PRNG 包括两种类型：统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料，但其输出结果很容易预测，因此数据流容易复制。若

Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么

06-09

1. CWE-16: Configuration，即配置问题，指的是由于应用程序配置不当而导致的安全漏洞。 2. CWE-436: Interpretation Conflict，即解释冲突，指的是由于 HTTP 响应头中的 Content-type 字段与响应内容的 MIME 类型...