解决Fortify漏洞:Insecure Randomness(不安全随机数)

最新推荐文章于 2024-02-20 10:15:00 发布
置顶 最新推荐文章于 2024-02-20 10:15:00 发布
阅读量2.5k 收藏 2
点赞数 2
分类专栏: Fortity漏洞 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XikYu/article/details/131042543
版权
文章讨论了Fortify检测到的InsecureRandomness问题,即代码使用不安全的随机数生成器,可能导致安全漏洞。在密码学和加密中,随机数的质量至关重要。为解决此问题,建议使用Java的SecureRandom类,它提供更安全的随机数生成,利用操作系统提供的随机源。应避免使用默认构造函数,而应使用种子参数来确保更强的随机性。
摘要由CSDN通过智能技术生成

1. 解释

       Fortify漏洞:Insecure Randomness(不安全随机数)指的是代码中使用了不安全或弱随机数生成器导致的安全漏洞。随机数在密码学应用、加密和解密等领域中经常被使用,如果生成的随机数不够随机或不够复杂,则会使得攻击者可以轻易地猜出生成的随机数,从而对系统造成威胁。因此,在安全敏感的应用中,必须使用安全的随机数生成器。

2. 漏洞出现原因

     Random random = new Random();

3. 解决方法

     Insecure Randomness,需要使用一个安全的随机数生成器来替换当前使用的不安全的随机数生成器。Java中提供了一些安全的随机数生成器,如SecureRandom类。

SecureRandom类是Java提供的安全随机数生成器。它利用了操作系统提供的真正随机数种子源,以及其他随机性产生器,生成更加随机和复杂的随机数。使用SecureRandom类生成随机数时,请勿使用默认构造函数,因为它将基于本地时间作为种子生成伪随机数。相反,请使用带有种子参数的构造函数或getInstance()方法创建一个安全的随机数生成器。

//需要换成
SecureRandom sr = new SecureRandom()即可

 

入夏忆梦
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JS-Randomness:此存储库包含JavaScript解决方案,用于解决我每天遇到的随机问题
02-10
JS-Randomness:此存储库包含JavaScript解决方案,用于解决我每天遇到的随机问题
代码审计中的问题(不安全随机数)
m0_52973251的博客
11-29 321
Fortify漏洞Insecure Randomness(不安全随机数)指的是代码中使用了不安全或弱随机数生成器导致的安全漏洞随机数在密码学应用、加密和解密等领域中经常被使用,如果生成的随机数不够随机或不够复杂,则会使得攻击者可以轻易地猜出生成的随机数,从而对系统造成威胁。因此,在安全敏感的应用中,必须使用安全随机数生成器。下面说的就是弱随机数,因为他通过时间戳相近会使随机数被限定在一个小范围内。
解决高危问题Insecure Randomness:不安全随机性
emmmeat的博客
11-10 238
我们向甲方部署一个ssm项目时,甲方要求出具一些列测试报告,包括源代码安全审计测试缺陷报告单,其中有一个问题是高危问题Insecure Randomness:不安全随机性。
Fortify漏洞Insecure Randomness(不安全随机数
arkqyo2595的博客
06-05 2543
  继续对Fortify漏洞进行总结,本篇主要针对 Insecure Randomness 漏洞进行总结,如下: 1、Insecure Randomness(不安全随机数) 1.1、产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。...
解决高风险代码(含前后端):Insecure Randomness
qq_45752401的博客
12-13 1245
如果算法不可行,或者您没有为算法明确特定的实现方法,那么会由系统为您选择 SecureRandom 的实。关 Sun 的 SHA1PRNG 算法实现细节的相关记录很少,人们无法了解算法实现中使用的熵的来源,因此也并不。述为计算: “SHA-1 可以计算一个真实的随机种子参数的散列值,同时,该种子参数带有一个 64 比特的计算。统计学的 PRNG 提供很多有用的统计属性,但其输出结果很容易预测,因此容易复制数值流。不管选择了哪一种 PRNG,都要始终使用带有充足熵的数值作为该算法的种子。
java编程遇到{Insecure Randomness}问题对随机数Random和SecureRandom的使用分析
梦游星海的博客
04-28 550
Insecure Randomness这个问题就是原来公司老代码使用random遇到的问题,因为这个类提供的获取随机数的方法是可预测的,random是用来创建伪随机数。所谓伪随机数,是指只要给定一个初始种子产生的随机数列是完全一样的先行同余法为随机数生成器在注重信息安全的应用中,不要使用 LCG 算法生成随机数,要使用SecureRandom。但是唯一好的一点就是不需要处理异常和抛异常。
Insecure Randomness
lijunlinlijunlin的专栏
04-29 4859
ABSTRACT 标准的伪随机数生成器不能抵挡各种加密攻击。 EXPLANATION 在对安全性要求较高的环境中,使用一个能产生可预测数值的函数作为随机数据源,会产生 Insecure Randomness 错误。 电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。 PRNG 包括两种类型:统计学的
代码审查工具fortify安全问题解决方法
06-02
代码审查工具Fortify安全问题解决方法 代码审查工具Fortify安全问题解决方法 Fortify是一款代码审查工具,旨在帮助开发者检测和修复代码中的安全问题。在本文中,我们将介绍Fortify扫描出的高中低危问题解决方法,...
fortify安全基础知识 不同语言软件安全漏洞
05-27
Fortify作为一款强大的静态代码分析工具,被广泛用于检测不同编程语言的软件安全漏洞。本篇将详细介绍软件安全的基础知识,以及Java、CC++和dotNET这三种语言的软件安全漏洞类型。 首先,软件安全基础知识主要包括...
Fortify解决方案手册(中文版).zip
06-16
Fortify解决方案手册(中文版)是一份详细的指南,专门针对使用Fortify和瑞云等工具在代码扫描过程中发现的安全漏洞提供解决方案。这份手册共计244页,全中文内容,旨在帮助开发人员和安全专家更好地理解和修复代码中...
安全测试工具fortify使用指南
最新发布
03-11
Fortify是Micro Focus旗下的应用程序安全测试(Application Security Testing, AST)产品之一,它涵盖了多种安全测试技术和工具,旨在帮助开发者和安全专家发现并修复应用程序中的安全漏洞Fortify的产品线包括: ...
代码审计Forfity常见扫描 漏洞原理与修复意见介绍
12-22
2. 不安全随机数Insecure Randomness) 不安全随机数是一种常见的漏洞,它发生在代码中使用了不安全随机数生成算法,例如使用了 `rand` 函数来生成随机数。这种漏洞可能会导致攻击者猜测随机数,从而实施...
Java代码审计】失效认证及不安全随机数
wangluoanquan111的博客
01-28 1849
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。一般来说,验证码是与Session绑定的,Session生成时,也伴随着验证码的生成和绑定,在访问页面时,接口的请求和验证码的生成通常是异步进行的,这使得两个功能变得相对独立。确保使用强大的、不可预测的密钥来计算服务器上的 HMAC 签名。
Fortify-Insecure Randomness
烎烎的博客
07-06 604
Insecure Randomness(不安全随机数) 无厘头:本是青灯不归客 却因浊酒留风尘。星光不问赶路人,岁月不负有心人。 漏洞级别:高 产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。   PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制。若..
bug:进行安全漏洞扫描被报Insecure Randomness:标准的伪随机数值生成器不能抵挡各种加密攻击。
m0_61869253的博客
02-20 851
使用了被安全漏洞扫描出high等级的漏洞。尽管我用了后,再用了一些手段处理这个随机数,还是被安全漏洞报警。由于是统计学的 PRNG,攻击者很容易猜到其生成的字符串。推荐使用密码学的PRNG。在 JavaScript 中,常规的建议是使用 Mozilla API 中的函数。
Insecure Randomness 和 Use of Cryptographically Weak PRNG 解决方案
起止洺的博客
12-26 2649
Insecure Randomness 和Use of Cryptographically Weak PRNG 其实是同一种漏洞,Insecure Randomness是由Fortify扫描出来的,Use of Cryptographically Weak PRNG是CheckMarx扫描出来的. 他们其实都是不安全随机数漏洞. 下面是Fortify漏洞的描述: 描述 标准的伪随机数值生成器...
Insecure Randomness引发对随机数生成器抵挡加密攻击的方法
Ashes
09-26 4312
一、由nextInt()实施的随机数生成器不能抵挡加密攻击 1、不安全随机数:电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG)  近似于随机算法,始于一个能计算后续数值的种子。 2、PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料, 但其输出结果很容易预测,因此数据流容易复制。若
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

入夏忆梦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值