Insecure Randomness

最新推荐文章于 2023-12-13 09:47:25 发布
最新推荐文章于 2023-12-13 09:47:25 发布
阅读量1.4k 收藏
点赞数
分类专栏: secure

This is a Vulnerability. To view all vulnerabilities, please see the Vulnerability Category page.


Last revision (mm/dd/yy): 12/20/2013

Vulnerabilities Table of Contents

Description

Standard pseudo-random number generators cannot withstand cryptographic attacks.

Insecure randomness errors occur when a function that can produce predictable values is used as a source of randomness in security-sensitive context.

Computers are deterministic machines, and as such are unable to produce true randomness. Pseudo-Random Number Generators (PRNGs) approximate randomness algorithmically, starting with a seed from which subsequent values are calculated.

There are two types of PRNGs: statistical and cryptographic. Statistical PRNGs provide useful statistical properties, but their output is highly predictable and forms an easy to reproduce numeric stream that is unsuitable for use in cases where security depends on generated values being unpredictable. Cryptographic PRNGs address this problem by generating output that is more difficult to predict. For a value to be cryptographically secure, it must be impossible or highly improbable for an attacker to distinguish between it and a truly random value. In general, if a PRNG algorithm is not advertised as being cryptographically secure, then it is probably a statistical PRNG and should not be used in security-sensitive contexts.

Examples

The following code uses a statistical PRNG to create a URL for a receipt that remains active for some period of time after a purchase (DO NOT DO THIS).

	String GenerateReceiptURL(String baseUrl) {
		Random ranGen = new Random();
		ranGen.setSeed((new Date()).getTime());
		return(baseUrl + Gen.nextInt(400000000) + ".html");
	}

This code uses the Random.nextInt() function to generate "unique" identifiers for the receipt pages it generates. Because Random.nextInt() is a statistical PRNG, it is easy for an attacker to guess the strings it generates. Although the underlying design of the receipt system is also faulty, it would be more secure if it used a random number generator that did not produce predictable receipt identifiers, such as a cryptographic PRNG.

The following code uses Java's SecureRandom class to generate a cryptographically strong pseudo-random number (DO THIS): 

	public static int generateRandom(int maximumValue) {
		SecureRandom ranGen = new SecureRandom();
		return ranGen.nextInt(maximumValue);
	}






转载自:https://www.owasp.org/index.php/Insecure_Randomness
 
lijunlinlijunlin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fortify漏洞之Insecure Randomness(不安全随机数)
arkqyo2595的博客
06-05 2508
  继续对Fortify的漏洞进行总结,本篇主要针对 Insecure Randomness 漏洞进行总结,如下: 1、Insecure Randomness(不安全随机数) 1.1、产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。...
Insecure Randomness引发对随机数生成器抵挡加密攻击的方法
Ashes
09-26 4264
一、由nextInt()实施的随机数生成器不能抵挡加密攻击 1、不安全的随机数:电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG)  近似于随机算法,始于一个能计算后续数值的种子。 2、PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料, 但其输出结果很容易预测,因此数据流容易复制。若
[20][03][18] Insecure Randomness
安全新司机
12-26 1165
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 在使用随机数函数时,经常使用 java.util.Random,其使用的是伪随机数生成器(PRNG) 近似于随机算法 PRNG 包括两种类型 统计学的 PRNG 密码学的 PRNG 统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制.若安全性取决于生成数值的不可预测性,则此类型不适用 密码学的 PRNG 通过可产生较难预测的输出结果来应对这一问题.为了使加密数值更为安全,必须使攻击者根本无法,或极不可能
解决高危问题Insecure Randomness:不安全随机性
emmmeat的博客
11-10 199
我们向甲方部署一个ssm项目时,甲方要求出具一些列测试报告,包括源代码安全审计测试缺陷报告单,其中有一个问题是高危问题Insecure Randomness:不安全随机性。
JS-Randomness:此存储库包含JavaScript解决方案,用于解决我每天遇到的随机问题
02-10
"JS-Randomness"这个存储库显然是一个JavaScript爱好者或开发者创建的,用于记录他们在日常编程中遇到的各种随机问题及其解决方案。这可能包括各种算法实现、小技巧、性能优化方法或是对JavaScript特性的深入理解和...
adbd Insecure 2.0
01-07
adbd Insecure(超级adbd)能让您在已经ROOT的设备上强制以ROOT模式运行adbd(注意,如果您运行的是第三方内核,则可能已经具备了这项功能)。如果您的设备上运行的是原生(设备制造商的)内核,那么adbd就会以...
详解HTTP Upgrade-Insecure-Requests
12-22
浏览器Upgrade-Insecure-Requests详解 搭建HTTPS服务器时经常会遇到该请求头
深入理解PHP中mt_rand()随机数的安全
01-20
前言 在前段时间挖了不少跟mt_rand()相关的安全漏洞,基本上都是错误理解随机数用法导致的。... This function does not generate cryptographically secure values, and should not be used for cryptographic ...
insecure magazine 28
01-22
insecure magazine 28
解决高风险代码(含前后端):Insecure Randomness
qq_45752401的博客
12-13 1115
如果算法不可行,或者您没有为算法明确特定的实现方法,那么会由系统为您选择 SecureRandom 的实。关 Sun 的 SHA1PRNG 算法实现细节的相关记录很少,人们无法了解算法实现中使用的熵的来源,因此也并不。述为计算: “SHA-1 可以计算一个真实的随机种子参数的散列值,同时,该种子参数带有一个 64 比特的计算。统计学的 PRNG 提供很多有用的统计属性,但其输出结果很容易预测,因此容易复制数值流。不管选择了哪一种 PRNG,都要始终使用带有充足熵的数值作为该算法的种子。
Fortify-Insecure Randomness
烎烎的博客
07-06 585
Insecure Randomness(不安全随机数) 无厘头:本是青灯不归客 却因浊酒留风尘。星光不问赶路人,岁月不负有心人。 漏洞级别:高 产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。   PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制。若..
Insecure Randomness 和 Use of Cryptographically Weak PRNG 解决方案
起止洺的博客
12-26 2625
Insecure Randomness 和Use of Cryptographically Weak PRNG 其实是同一种漏洞,Insecure Randomness是由Fortify扫描出来的,Use of Cryptographically Weak PRNG是CheckMarx扫描出来的. 他们其实都是不安全的随机数漏洞. 下面是Fortify对漏洞的描述: 描述 标准的伪随机数值生成器...
java编程遇到{Insecure Randomness}问题对随机数Random和SecureRandom的使用分析
梦游星海的博客
04-28 517
Insecure Randomness这个问题就是原来公司老代码使用random遇到的问题,因为这个类提供的获取随机数的方法是可预测的,random是用来创建伪随机数。所谓伪随机数,是指只要给定一个初始种子产生的随机数列是完全一样的先行同余法为随机数生成器在注重信息安全的应用中,不要使用 LCG 算法生成随机数,要使用SecureRandom。但是唯一好的一点就是不需要处理异常和抛异常。
解决Fortify漏洞:Insecure Randomness(不安全随机数)
林夕
06-05 2384
SecureRandom类是Java提供的安全随机数生成器。它利用了操作系统提供的真正随机数种子源,以及其他随机性产生器,生成更加随机和复杂的随机数。使用SecureRandom类生成随机数时,请勿使用默认构造函数,因为它将基于本地时间作为种子生成伪随机数。相反,请使用带有种子参数的构造函数或getInstance()方法创建一个安全的随机数生成器。,需要使用一个安全的随机数生成器来替换当前使用的不安全的随机数生成器。Java中提供了一些安全的随机数生成器,如。
服务器启用了sslv2协议_服务器安全之SSL POODLE漏洞的检测及修复方法
weixin_39978101的博客
11-24 733
OODLE即Padding Oracle On Downgraded Legacy Encryption.是安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。从本质上...
bug:进行安全漏洞扫描被报Insecure Randomness:标准的伪随机数值生成器不能抵挡各种加密攻击。
奶绿走糖的博客
04-11 1253
是统计学的 PRNG,攻击者很容易猜到其生成的字符串。推荐使用密码学的PRNG。在 JavaScript 中,常规的建议是使用 Mozilla API 中的。后,再用了一些手段处理这个随机数,还是被安全漏洞报警。被安全漏洞扫描出high等级的漏洞。
fortify测试前端js 不能使用Math.random()的问题
10-25 461
const randomNum = parseInt((1 + rnd()) * 65536) + '' //这是采用了自己的随机数函数的。//const randomNum = parseInt((1 + Math.random()) * 65536) + '' //这是原来的。说是Math.random()有漏洞,不知道是个什么鬼,但是不解决就过不去。
安装 adbd Insecure
最新发布
05-09
adbd Insecure是一种应用程序,可以帮助您在Android设备上安装和运行没有通过数字签名验证的应用程序。在安装adbd Insecure之前,您需要确保您的Android设备已获取root权限,这将允许您在系统级别上进行更改。 以下是安装adbd Insecure的步骤: 1. 在Google Play商店中下载和安装“adbd Insecure”应用程序。 2. 确认您的Android设备已获得root权限。 3. 打开“adbd Insecure”应用程序,并启用ADB访问。 4. 如果您的Android设备已连接到计算机,请确保USB调试功能已启用。 5. 现在您可以运行未经验证的应用程序了!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值