Make sure that using this pseudorandom number generator is safe here.

已于 2023-11-28 16:58:36 修改
阅读量834 收藏
点赞数 5
分类专栏: sonarqube 文章标签: devops java
于 2023-11-28 16:54:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LG_15011399296/article/details/134671724
版权

问题类型:安全热点

安全问题级别:MEDIUM

一、问题代码

工具类Package:

Java commons-lang3 库 RandomUtils 随机数工具类

import org.apache.commons.lang3.RandomUtils;

用法:

RandomUtils.nextInt(0, 999999999) //生成 0 - Integer.MAX_VALUE 范围的随机数

Random()有安全隐患,相同的种子生成的结果一样,攻击者可能会猜测到下一个结果。

如果在密码相关领域需要使用SecureRandom(),相同的种子,生成的结果也不一样。

二、风险问题

使用伪随机数发生器(PRNG)是安全敏感的。例如,它在过去导致了以下漏洞:

当软件在需要不可预测性的上下文中生成可预测值时,攻击者可能会猜测将生成的下一个值,并使用此猜测来模拟其他用户或访问敏感信息。

由于java.util.Random类依赖于伪随机数生成器,因此此类和相关的java.lang.Math.Random()方法不应用于安全关键应用程序或保护敏感数据。在这种情况下,应该适当使用java.security.SecureRandom类,该类依赖于加密强随机数生成器(RNG)。

三、如何修复

该问题主要关注随机数的用途是否涉及敏感信息,比如电子钱包、密码、token等。普通的生成随机数字暂可以认为safe。

推荐的安全编码实践

使用“java.security.SecureRandom”之类的加密强随机数生成器(RNG)代替此PRNG。

仅使用生成的随机值一次。

不应公开生成的随机值。如果必须存储它,请确保数据库或文件是安全的。

符合要求的解决方案

SecureRandom random = new SecureRandom(); // Compliant for security-sensitive use cases
byte bytes[] = new byte[20];
random.nextBytes(bytes);

明算科
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【php】mt_rand 伪随机数漏洞
BrosyveryOK的博客
09-26 1662
php伪随机漏洞由于 mt_srand(seed) 函数和 mt_rand() 函数产生。在执行 mt_rand() 函数生成随机数之前,先要执行 mt_srand() 函数分发种子,使 mt_rand(seed) 函数能够生成随机数,但是此处生成的随机数实际上是伪随机的。
漏洞分析Pseudo Random Number Generation Lab(自用,记录)
weixin_48392428的博客
07-06 3363
Pseudo Random Number Generation Lab1 Overview1.1 Lab Environment2 Lab Tasks2.1 Task 1: Generate Encryption Key in a Wrong Way2.2 Task 2: Guessing the Key2.3 Task 3: Measure the Entropy of Kernel2.4 Task 4: Get Pseudo Random Numbers from /dev/random2.5 Task
sonarqube审查代码Math.randomMake sure that using this pseudorandom number generator is safe here.
qq_43592064的博客
07-21 268
sonarqube审查代码Math.randomMake sure that using this pseudorandom number generator is safe here.
Random,ThreadLocalRandom,SecureRandom有什么区别
最新发布
abckingaa的博客
07-16 239
Random,ThreadLocalRandom,SecureRandom有什么区别? 那SecureRandom与ThreadLocalRandom 有什么区别? 应该使用那个?
【无标题】
月来better
12-29 230
关于crypto:https://developer.mozilla.org/zh-CN/docs/Web/API/Crypto/getRandomValues Crypto.getRandomValues() 方法让你可以获取符合密码学要求的安全的随机值。传入参数的数组被随机值填充(在加密意义上的随机)。 为了确保足够的性能,不使用真正的随机数生成器,但是它们正在使用具有足够熵值伪随机数生成器。它所使用的 PRNG 的实现与其他不同,但适用于加密的用途。该实现还需要使用具有足够熵的种子,如系统级熵源。 如
Java 随机数生成器 Random & SecureRandom
保护我方飞猪博客
04-14 2457
Java 里提供了一些用于生成随机数的工具类,这里分析一下其实现原理,以及他们之间的区别、使用场景。 java.util.Random Random 是比较常用的随机数生成类,它的基本信息在类的注释里都写到了,下面是 JDK8 里该类的注释: /** * An instance of this class is used to generate a stream of * pseudorandom numbers. The class uses a 48-bit seed, which
Pseudorandom number generator
走马观花
07-24 3570
http://en.wikipedia.org/wiki/Pseudorandom_number_generator A pseudorandom number generator (PRNG), also known as a deterministic random bit generator (DRBG),[1] is an algorithm for generating a seq
matlab伪随机坐标,matlab伪随机数发生器(Matlab pseudo random number generator).doc
weixin_30896451的博客
03-16 268
matlab伪随机数发生器(Matlab pseudo random number generator)matlab伪随机数发生器(Matlab pseudo random number generator)Generation of random numbers with good uniformityZZ, from, /lanmuyd.asp, id=3379?Random number g...
在Vue项目中,sonar 扫描前端Math.random()报Make sure that using this pseudorandom number generator is safe here.附详细代码替换方法解决方法
05-30
const randomNumber = getRandomNumber(); ``` 在上面的代码中,我们首先使用crypto.getRandomValues()方法生成一个包含一个32位无符号整数的数组。然后,我们返回数组中的第一个整数作为真正的随机数。 使用这种...
Fast Splittable Pseudorandom Number Generators (oopsla14)-计算机科学
04-22
oriented and splittable pseudorandom number generator (PRNG) that is quite fast: 9 64-bit arithmetic/logical opera- tions per 64 bits generated. A conventional linear PRNG ob- ject provides a generate...
Pseudo Random Number Generator Daemon-开源
07-17
PRNGD,全称为Pseudo Random Number Generator Daemon,是一个用于生成伪随机数的服务程序。在计算机科学中,随机数的生成对于许多领域至关重要,如加密、模拟、游戏以及密码学应用等。由于真正的随机数在计算机中...
pseudo-random-number-generators:伪随机数生成器在 C 语言中的实现和使用 TestU01 的评估 :game_die:
07-03
伪随机数发生器 使用 C 实现和评估伪随机数生成器系列。
sonar静态扫描安全靶场webgoat
m0_59598029的博客
04-20 989
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。这意味着即使知道当前的随机数生成位置,也无法预测下一个生成的随机数。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
关于Pseudorandom number 和 Genuine random number
偶滴学习blog
11-27 658
 1 Pseudorandom number generator A pseudorandom number generator (PRNG) is an algorithm for generating a sequence of numbers that approximates the properties of random numbers. The sequence
SonarLint 默认扫描规则
热门推荐
全盛
09-08 2万+
请看原文:原文链接:https://blog.csdn.net/jiaomubai/article/details/116596868 在平时写代码的时候,为了代码规范和减少 bug 的数量,使用 SonarLint 插件进行代码检查无疑是一个很好的方法。Sonar 是一个用于代码质量管理的开源平台,用来管理源代码的质量,通过插件的形式支持包括 Java、C++、C语言等多种编程语言的代码质量管理与检测。 Sonar 从以下七个维度来进行代码质量的检测: 不遵循代码标准:Sonar 可以通过 PMD、
随机数和随机性:伪随机数和真随机数
hahachenchen789的博客
11-19 6421
随机数可以用于各种目的,例如生成数据加密密钥、模拟和建模复杂现象以及从更大的数据集中选择随机样本。它们在美学上也被使用过,例如在文学和音乐中,当然在游戏和赌博中也很流行。当讨论单数时,随机数是从一组可能的值中抽取出来的,每个值都是等可能的;当讨论随机数序列时,每个被绘制的数字必须在统计上独立于其他数字。   随着计算机的出现,程序员认识到有必要在计算机程序中引入随机性,然而,令人惊讶的是,要让...
sonar常见问题修改
期待王教授
01-15 9464
如今,大家都用sonar工具扫描自己的项目代码,以提高自己的代码质量。关于sonar工具的使用以及本地sonar环境搭建已经有同事在内网上分享了,本文不再介绍。本文主要介绍自己在工作中用soanr工具检查Java代码时常见的问题及对应修改建议。 常见问题1: 使用字符索引 : String.indexOf(char) is faster than String.indexOf(String).
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明算科

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值