代码审计中的问题(不安全随机数)

最新推荐文章于 2024-07-04 12:39:04 发布
最新推荐文章于 2024-07-04 12:39:04 发布
阅读量270 收藏
点赞数
文章标签: 安全 go 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52973251/article/details/134696796
版权

定义

Fortify漏洞:Insecure Randomness(不安全随机数)指的是代码中使用了不安全或弱随机数生成器导致的安全漏洞。随机数在密码学应用、加密和解密等领域中经常被使用,如果生成的随机数不够随机或不够复杂,则会使得攻击者可以轻易地猜出生成的随机数,从而对系统造成威胁。因此,在安全敏感的应用中,必须使用安全的随机数生成器。

下面说的就是弱随机数,因为他通过时间戳相近会使随机数被限定在一个小范围内

区别

rand.Seed(time.Now().UnixNano())
rand.New(rand.NewSource(time.Now().UnixNano()))
官方描述:
math/rand包 现在自动为全局随机数生成器(由 和 等顶级函数使用Float64)Int生成一个随机值,并且顶级Seed函数已被弃用。需要可重现的随机数序列的程序应该更喜欢分配自己的随机源,使用rand.New(rand.NewSource(seed)).
我的实验结果:
通过rand.Seed()或者rand.New(rand.NewSource())传递一个时间戳作为随机的一个种子,如果是用之前弃用的Seed,循环调用的时候如果写在循环里面时间戳相近作为一个种子接着去执行类似rand.Intn方法去产生的随机数也会相等,如果设为全局则不会出现这种情况。
rand.New(rand.NewSource(seed)).这个无论是全局还是局部都会随机

rand.Seed(time.Now().UnixNano())
	//rand.New(rand.NewSource(time.Now().UnixNano()))
	for i := 0; i < 20; i++ {
		fmt.Println(rand.Intn(10))
	}
	打印结果 93783471583726942706
	
	
	for i := 0; i < 20; i++ {
		rand.Seed(time.Now().UnixNano())
		fmt.Print(rand.Intn(10))
	}
	
	44555555555555554666
	
	
	rand.New(rand.NewSource(time.Now().UnixNano()))
	for i := 0; i < 20; i++ {
		//rand.Seed(time.Now().UnixNano())
		fmt.Print(rand.Intn(10))
	}
	14525437477001900718
	
	for i := 0; i < 20; i++ {
		rand.New(rand.NewSource(time.Now().UnixNano()))
		//rand.Seed(time.Now().UnixNano())
		fmt.Print(rand.Intn(10))
	}
	96217924342966230600
向神明诉语、
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fortify漏洞之Insecure Randomness(不安全随机数
arkqyo2595的博客
06-05 2508
  继续对Fortify的漏洞进行总结,本篇主要针对 Insecure Randomness 漏洞进行总结,如下: 1、Insecure Randomness(不安全随机数) 1.1、产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。...
csrf java随机数_不安全随机数
weixin_42399813的博客
02-25 1076
代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。1.漏洞描述随机数在计算机应用使用的比较广泛,最为熟知的便是在密码学的应用。随机数分为真随机数和伪随机数,我们程序使用的基本都是伪随机数。伪随机又分为强...
java代码审计之常见漏洞学习
weixin_51725318的博客
08-18 380
java代码审计之常见漏洞学习
Java代码规范(安全问题) 修改案例
DXIANGH的博客
08-31 332
【代码】Java代码规范(安全问题) 修改案例。
Java代码审计】失效认证及不安全随机数
wangluoanquan111的博客
01-28 1759
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。一般来说,验证码是与Session绑定的,Session生成时,也伴随着验证码的生成和绑定,在访问页面时,接口的请求和验证码的生成通常是异步进行的,这使得两个功能变得相对独立。确保使用强大的、不可预测的密钥来计算服务器上的 HMAC 签名。
解决Fortify漏洞:Insecure Randomness(不安全随机数
林夕
06-05 2379
SecureRandom类是Java提供的安全随机数生成器。它利用了操作系统提供的真正随机数种子源,以及其他随机性产生器,生成更加随机和复杂的随机数。使用SecureRandom类生成随机数时,请勿使用默认构造函数,因为它将基于本地时间作为种子生成伪随机数。相反,请使用带有种子参数的构造函数或getInstance()方法创建一个安全随机数生成器。,需要使用一个安全随机数生成器来替换当前使用的不安全随机数生成器。Java提供了一些安全随机数生成器,如。
应用安全系列之二十八:随机数
jimmyleeee的专栏
04-10 1584
随机数产生器有两种:非确定性的随机数产生器和确定性的随机数产生器。 非确定性的随机数产生器(Non-deterministic Random Bit Generators),也称为真随机数产生器,简称NRBG,主要是利用物理熵源的随机数发生器,它的随机性是不可预测的,(熵源是一种产生完全不可预测的无序数据的比特源,而且各比特之间满足统计独立,例如:噪声源、热源、硬盘寻道时间、模数转换过程,等等)。 确定性的随机数产生器(Deterministic Rand...
代码审计Forfity常见扫描 漏洞原理与修复意见介绍
12-22
代码审计是软件开发过程的一种重要环节,旨在检测和修复代码安全漏洞。Fortify 是一款常用的代码审计工具,它可以自动检测代码的漏洞,并提供修复建议。下面,我们将介绍 Fortify 代码审计常见的扫描漏洞...
PHP代码审计小结1
08-03
**PHP代码审计是确保Web应用程序安全的关键步骤,它涉及到对源代码的深入分析,寻找潜在的安全漏洞和不安全的编程实践。以下是一些主要的知识点和审计方法:** ### PHP代码审计方法 1. **通读全文法**:虽然耗时,...
不太聪明的合同:Solidity安全问题的示例
02-05
使用工具如Slither、Oyente或Mythril等进行静态代码分析,可以发现潜在的安全问题,但不能替代人工审计。 9. 合约升级: 如果不正确地设计合约,将来可能无法进行安全的升级。使用代理合约模式和升级able库可以...
代码审计工具Findbugs自动检查CheckList及配置方法
10-21
代码审计工具Findbugs是一个开源的代码审计工具,广泛应用于软件开发。Findbugs能够自动检查代码安全漏洞和错误,从而提高软件产品的安全性和可靠性。 配置文件的位置 Findbugs的配置文件位于workspace\....
Python-在学习Software安全的过程整合的一些资料
08-10
此外,代码审计和漏洞检测是保证软件安全的日常任务。通过使用静态代码分析工具(如Bandit或Pylint)和动态分析工具(如Selenium或OWASP ZAP),开发者可以在代码执行前发现潜在的安全问题。Python的虚拟环境(如...
解决高危问题Insecure Randomness:不安全随机性
emmmeat的博客
11-10 199
我们向甲方部署一个ssm项目时,甲方要求出具一些列测试报告,包括源代码安全审计测试缺陷报告单,其有一个问题是高危问题Insecure Randomness:不安全随机性
fortify——Insecure Randomness
chdyiboke的博客
04-16 4237
This is a Vulnerability. To view all vulnerabilities, please see the Vulnerability Category page. Vulnerabilities Table of Contents Description Standard pseudo-random number generators
golang那些已经被废弃的包函数方法(持续更新...)
ferrarifomaul的博客
02-19 646
原本1.20之前用 rand.Seed(time.Now().UnixNano())1.20之后(包括1.20) 用rand.New(rand.NewSource(time.Now().UnixNano()))
java编程遇到{Insecure Randomness}问题随机数Random和SecureRandom的使用分析
梦游星海的博客
04-28 515
Insecure Randomness这个问题就是原来公司老代码使用random遇到的问题,因为这个类提供的获取随机数的方法是可预测的,random是用来创建伪随机数。所谓伪随机数,是指只要给定一个初始种子产生的随机数列是完全一样的先行同余法为随机数生成器在注重信息安全的应用,不要使用 LCG 算法生成随机数,要使用SecureRandom。但是唯一好的一点就是不需要处理异常和抛异常。
Java各种随机方式对比
油墨香^-^的博客
08-11 473
1. Math.random() 静态方法产生的随机数是 0 - 1 之间的一个double,即。结果:实现原理:当第一次调用方法时,自动创建了一个,实际上用的是。当接下来继续调用方法时,就会使用这个新的。initRNG()方法是的,因此在多线程情况下,只有一个线程会负责创建伪随机数生成器(使用当前时间作为种子),其他线程则利用该伪随机数生成器产生随机数。因此方法是线程安全的。什么情况下随机数的生成线程不安全:线程1在第一次调用random()时产生一个生成器generator1。......
构建安全稳定的应用:SpringSecurity实用指南
最新发布
zhugedali_的博客
07-04 710
它涵盖了认证(Authentication)、授权(Authorization)、防止常见的安全攻击等多个方面,适用于各种类型的应用,包括 Web 应用、RESTful 服务、微服务等。- 生成认证对象:认证成功后,创建包含用户信息、角色和权限的 Authentication 对象,并存储在安全上下文。- 加载用户角色和权限:除了基本的用户信息,还包括用户所拥有的角色和权限。- 认证请求处理:根据配置的认证方式,对用户提交的认证信息进行验证。
java代码检测不安全随机数解决办法
04-20
为了解决Java代码的不安全随机数问题,可以使用java.security.SecureRandom类来生成加密强度的随机数,该类在各种平台上都提供了高质量的随机性。可以通过以下代码获取一个安全随机数生成器: SecureRandom secureRandom = new SecureRandom(); 可以使用这个生成器生成加密强度的随机数。也可以使用java.util.Random类来生成普通的随机数,但是该类的生成算法不够安全,应该尽量避免在安全性要求较高的场景使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值