bug:进行安全漏洞扫描被报Insecure Randomness:标准的伪随机数值生成器不能抵挡各种加密攻击。

已于 2023-10-16 18:01:01 修改
阅读量1.4k 收藏 1
点赞数
分类专栏: bug 其他 文章标签: vue.js bug javascript
于 2023-04-11 16:12:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljtjianting/article/details/130086186
版权

背景:

使用了Math.random()被安全漏洞扫描出high等级的漏洞。尽管我用了Math.random()后,再用了一些手段处理这个随机数,还是被安全漏洞报警。

由于 Math.random() 是统计学的 PRNG,攻击者很容易猜到其生成的字符串。推荐使用密码学的PRNG。
在 JavaScript 中,常规的建议是使用 Mozilla API 中的 window.crypto.random() 函数。

解决方法:

  1. 先检查打印一下window.crypto有没有值,有就不用走第一二步,可以直接走第三步

  2. 引入第三方库:crypto-js

    npm install crypto-js

  3. 在 main.js 全局注册 cryptojs

    import crypto from 'crypto-js'
Vue.use(crypto)

  4. 使用,在需要使用的地方插入代码,
    将这串代码Math.random()替代成这串crypto.getRandomValues(randomValuesArray)[0]

    const randomValuesArray = new Uint32Array(1)
const randomValue= crypto.getRandomValues(randomValuesArray)[0]

顺嘴一提:
fortify扫描的漏洞 —— Key Management: Empty Encryption Key
把报的关键字【key】换一个参数名即可。

奶绿走糖
关注
专栏目录
java编程遇到{Insecure Randomness}问题对随机数Random和SecureRandom的使用分析
梦游星海的博客
04-28 583
Insecure Randomness这个问题就是原来公司老代码使用random遇到的问题,因为这个类提供的获取随机数的方法是可预测的,random是用来创建伪随机数。所谓伪随机数,是指只要给定一个初始种子产生的随机数列是完全一样的先行同余法为随机数生成器在注重信息安全的应用中,不要使用 LCG 算法生成随机数,要使用SecureRandom。但是唯一好的一点就是不需要处理异常和抛异常。
Vue实战指南警惕Vue代码的14个易受攻击
最新发布
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
09-14 1122
然而,在享受Vue带来的便利的同时,我们也必须注意到潜在的安全风险。在开发过程中,持续关注安全性问题,并遵循最佳实践,是构建健壮、可靠的应用程序的关键。通过深入研究Vue的核心机制,并结合实践经验,我们可以更有效地预防潜在的风险。希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身农奴把歌唱,当组件之间共享状态或直接修改父组件的状态时,可能会导致数据污染,特别是在使用。
Insecure Randomness
lijunlinlijunlin的专栏
04-29 4882
ABSTRACT 标准伪随机生成器不能抵挡各种加密攻击。 EXPLANATION 在对安全性要求较高的环境中,使用一个能产生可预测数值的函数作为随机数据源,会产生 Insecure Randomness 错误。 电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。 PRNG 包括两种类型:统计学的
java由nextint()实施的随机数生成器不能抵挡加密攻击,Fortify漏洞之Insecure Randomness(不安全随机数)...
weixin_39602005的博客
03-22 1809
继续对Fortify的漏洞进行总结,本篇主要针对Insecure Randomness漏洞进行总结,以下:html一、Insecure Randomness(不安全随机数)1.一、产生缘由:成弱随机数的函数是 random()。java电脑是一种具备肯定性的机器,所以不可能产生真正的随机性。伪随机生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。算法PRNG 包括两种类型:...
【web漏洞百例】3.Sql注入、不安全的随机数
程序猿之洞
03-28 5283
一、Sql注入 描述: 通过不可信来源的输入构建动态SQL指令,攻击者就能够修改指令的含义或者执行任意SQL命令。 举例: Sql注入错误会在以下情况发生 1.数据从一个不可信赖的数据源进入程序。 2.数据用于动态地构造一个SQL语句 使用Java的MyBatis/iBatis框架可以指定SQL指令中的动态参数,通常使用#字符来定义它们,如: SELECT * F
Insecure Randomness 和 Use of Cryptographically Weak PRNG 解决方案
起止洺的博客
12-26 2678
Insecure Randomness 和Use of Cryptographically Weak PRNG 其实是同一种漏洞,Insecure Randomness是由Fortify扫描出来的,Use of Cryptographically Weak PRNG是CheckMarx扫描出来的. 他们其实都是不安全的随机数漏洞. 下面是Fortify对漏洞的描述: 描述 标准伪随机数值生成器...
java 随机数字加密_java随机数之Random和SecureRandom
weixin_39777875的博客
02-13 723
一、前言在一次项目的安全测试源代码扫描中,random()实施的随机数生成器不能抵挡加密攻击。其中漏洞的源代码如下:int number = (int) ((Math.random() * 9 + 1) * Math.pow(10, 6 -1));String numStr= String.valueOf(number);其中的漏洞的解释是这样说的,在对安全性要求较高的环境中,使用能够生成...
JS-Randomness:此存储库包含JavaScript解决方案,用于解决我每天遇到的随机问题
02-10
"JS-Randomness"这个存储库显然是一个JavaScript爱好者或开发者创建的,用于记录他们在日常编程中遇到的各种随机问题及其解决方案。这可能包括各种算法实现、小技巧、性能优化方法或是对JavaScript特性的深入理解和...
Fortify漏洞之Insecure Randomness(不安全随机数)
arkqyo2595的博客
06-05 2583
  继续对Fortify的漏洞进行总结,本篇主要针对 Insecure Randomness 漏洞进行总结,如下: 1、Insecure Randomness(不安全随机数) 1.1、产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。...
您使用的是不受支持的命令行标记: --unsafely-treat-insecure-origin-as-se
热门推荐
猿小白的博客
02-18 2万+
在使用的Chrome浏览器的时候,浏览器上面提示:您使用的是不受支持的命令行标记: --unsafely-treat-insecure-origin-as-se等提示信息。如何去掉呢? 解决办法:搜索框输入:chrome://flags/,然后点击Reset all按钮,最后点击Relaunch重启浏览器即可。 ...
自定义随机数总结(Random
07-03
自定义随机数,再添加数据是往往想要自己定义一个id好而且还让她没有规律那么这时候就需要随机数了这个例子包括了所有Random 的例子!
解决Fortify漏洞:Insecure Randomness(不安全随机数)
林夕
06-05 2643
SecureRandom类是Java提供的安全随机数生成器。它利用了操作系统提供的真正随机数种子源,以及其他随机性产生器,生成更加随机和复杂的随机数。使用SecureRandom类生成随机数时,请勿使用默认构造函数,因为它将基于本地时间作为种子生成伪随机数。相反,请使用带有种子参数的构造函数或getInstance()方法创建一个安全的随机数生成器。,需要使用一个安全的随机数生成器来替换当前使用的不安全的随机数生成器。Java中提供了一些安全的随机数生成器,如。
[20][03][18] Insecure Randomness
安全新司机
12-26 1258
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 在使用随机数函数时,经常使用 java.util.Random,其使用的是伪随机生成器(PRNG) 近似于随机算法 PRNG 包括两种类型 统计学的 PRNG 密码学的 PRNG 统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制.若安全性取决于生成数值的不可预测性,则此类型不适用 密码学的 PRNG 通过可产生较难预测的输出结果来应对这一问题.为了使加密数值更为安全,必须使攻击者根本无法,或极不可能
Math.random()伪随机数漏洞修复方案
u014728240的博客
09-16 4939
利用Web Cryptography API生成真随机数,修复因为Math.random生成伪随机数导致的漏洞
fortify测试前端js 不能使用Math.random()的问题
10-25 588
const randomNum = parseInt((1 + rnd()) * 65536) + '' //这是采用了自己的随机数函数的。//const randomNum = parseInt((1 + Math.random()) * 65536) + '' //这是原来的。说是Math.random()有漏洞,不知道是个什么鬼,但是不解决就过不去。
Insecure Randomness引发对随机数生成器抵挡加密攻击的方法
Ashes
09-26 4367
一、由nextInt()实施的随机数生成器不能抵挡加密攻击 1、不安全的随机数:电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机生成器 (PRNG)  近似于随机算法,始于一个能计算后续数值的种子。 2、PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料, 但其输出结果很容易预测,因此数据流容易复制。若
Docker安全实践:避免不安全镜像仓库
"该文档是Dosec安全团队根据CIS Docker安全标准并结合实际经验编写的Docker容器最佳安全实践白皮书,旨在提供一套详细的Docker安全配置指南,确保容器环境的安全性。文中强调了不使用不安全的镜像仓库作为关键的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值