bug:进行安全漏洞扫描被报Insecure Randomness:标准的伪随机数值生成器不能抵挡各种加密攻击。

于 2024-02-20 10:15:00 发布
阅读量785 收藏 16
点赞数 22
文章标签: bug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61869253/article/details/136179192
版权

背景:

使用了Math.random()被安全漏洞扫描出high等级的漏洞。尽管我用了Math.random()后,再用了一些手段处理这个随机数,还是被安全漏洞报警。

由于 Math.random() 是统计学的 PRNG,攻击者很容易猜到其生成的字符串。推荐使用密码学的PRNG。
在 JavaScript 中,常规的建议是使用 Mozilla API 中的 window.crypto.random() 函数。

解决方法:

  1. 先检查打印一下window.crypto有没有值,有就不用走第一二步,可以直接走第三步

  2. 引入第三方库:crypto-js

    npm install crypto-js

  3. 在 main.js 全局注册 cryptojs

    import crypto from ‘crypto-js’
    Vue.use(crypto)

  4. 使用,在需要使用的地方插入代码,
    将这串代码Math.random()替代成这串crypto.getRandomValues(randomValuesArray)[0]

    const randomValuesArray = new Uint32Array(1)
    const randomValue= crypto.getRandomValues(randomValuesArray)[0]

顺嘴一提:
fortify扫描的漏洞 —— Key Management: Empty Encryption Key
把报的关键字【key】换一个参数名即可。

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

python-qing
关注
  • 22
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fortify漏洞Insecure Randomness(不安全随机数
arkqyo2595的博客
06-05 2512
  继续对Fortify的漏洞进行总结,本篇主要针对 Insecure Randomness 漏洞进行总结,如下: 1、Insecure Randomness(不安全随机数) 1.1、产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数的种子。...
Insecure Randomness 和 Use of Cryptographically Weak PRNG 解决方案
起止洺的博客
12-26 2628
Insecure Randomness 和Use of Cryptographically Weak PRNG 其实是同一种漏洞,Insecure Randomness是由Fortify扫描出来的,Use of Cryptographically Weak PRNG是CheckMarx扫描出来的. 他们其实都是不安全随机数漏洞. 下面是Fortify对漏洞的描述: 描述 标准随机数生成器...
JS-Randomness:此存储库包含JavaScript解决方案,用于解决我每天遇到的随机问题
02-10
JS-Randomness:此存储库包含JavaScript解决方案,用于解决我每天遇到的随机问题
解决Fortify漏洞Insecure Randomness(不安全随机数
林夕
06-05 2410
SecureRandom类是Java提供的安全随机数生成器。它利用了操作系统提供的真正随机数种子源,以及其他随机性产生器,生成更加随机和复杂的随机数。使用SecureRandom类生成随机数时,请勿使用默认构造函数,因为它将基于本地时间作为种子生成随机数。相反,请使用带有种子参数的构造函数或getInstance()方法创建一个安全随机数生成器。,需要使用一个安全随机数生成器来替换当前使用的不安全随机数生成器。Java中提供了一些安全随机数生成器,如。
解决高危问题Insecure Randomness:不安全随机性
emmmeat的博客
11-10 206
我们向甲方部署一个ssm项目时,甲方要求出具一些列测试告,包括源代码安全审计测试缺陷告单,其中有一个问题是高危问题Insecure Randomness:不安全随机性。
Math.random()
神奇的代码的博客
06-02 1985
Math.random()JavaScript中定义了0到1之间的随机数,包括0,但不包括1。
java编程遇到{Insecure Randomness}问题对随机数Random和SecureRandom的使用分析
梦游星海的博客
04-28 519
Insecure Randomness这个问题就是原来公司老代码使用random遇到的问题,因为这个类提供的获取随机数的方法是可预测的,random是用来创建随机数。所谓随机数,是指只要给定一个初始种子产生的随机数列是完全一样的先行同余法为随机数生成器在注重信息安全的应用中,不要使用 LCG 算法生成随机数,要使用SecureRandom。但是唯一好的一点就是不需要处理异常和抛异常。
解决高风险代码(含前后端):Insecure Randomness
最新发布
qq_45752401的博客
12-13 1137
如果算法不可行,或者您没有为算法明确特定的实现方法,那么会由系统为您选择 SecureRandom 的实。关 Sun 的 SHA1PRNG 算法实现细节的相关记录很少,人们无法了解算法实现中使用的熵的来源,因此也并不。述为计算: “SHA-1 可以计算一个真实的随机种子参数的散列,同时,该种子参数带有一个 64 比特的计算。统计学的 PRNG 提供很多有用的统计属性,但其输出结果很容易预测,因此容易复制数流。不管选择了哪一种 PRNG,都要始终使用带有充足熵的数作为该算法的种子。
Insecure Randomness
lijunlinlijunlin的专栏
04-29 4839
ABSTRACT 标准随机数生成器不能抵挡各种加密攻击。 EXPLANATION 在对安全性要求较高的环境中,使用一个能产生可预测数的函数作为随机数据源,会产生 Insecure Randomness 错误。 电脑是一种具有确定性的机器,因此不可能产生真正的随机性。随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数的种子。 PRNG 包括两种类型:统计学的
django-insecure:不安全的Django应用程序示例
05-16
具有许多内置安全漏洞的简单Django应用程序 带有示例和解释的相应文章: 其中一些被 像这样运行它: bandit -r ./insecure/security 要启动服务器: python manage.py runserver 包含威胁示例: SQL注入 命令...
webappsec-upgrade-insecure-requests:WebAppSec升级不安全请求
05-05
8. **测试和调试**:开发者可以使用各种工具,如Chrome开发者工具、OWASP ZAP等,来检测和修复不安全的请求问题。定期进行安全审计和渗透测试也是确保网站安全的重要环节。 通过理解和应用这些知识点,开发者可以...
retire.js:扫描程序检测已知漏洞JavaScript库的使用
01-30
现在,“使用具有已知漏洞的组件”已成为安全风险列表的一部分,不安全的库可能给您的Web应用带来巨大的风险。 Retire.js的目标是帮助您检测具有已知漏洞的JS库版本的使用。 Retire.js可以通过多种方式使用:命令行...
insecure-bank-io:不安全的银行IO演示
04-08
安全的银行在本地运行应用程序克隆存储库: $ git clone https://github.com/hdiv/insecure-bank.git使用嵌入式Tomcat运行应用程序: $ mvn clean package $ mvn cargo:run然后,您可以在此处访问银行应用程序: ...
Fortify-Insecure Randomness
烎烎的博客
07-06 586
Insecure Randomness(不安全随机数) 无厘头:本是青灯不归客 却因浊酒留风尘。星光不问赶路人,岁月不负有心人。 漏洞级别:高 产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数的种子。   PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制。若..
Fortify漏洞Insecure Randomness(不安全随机数
七一
05-17 356
在对安全性要求较高的环境中,使用能够生成可预测的函数作为随机数据源,会产生 Insecure Randomness 错误。为保证加密安全性,必须使攻击者根本无法、或几乎不可能鉴别生成的随机和真正的随机。通常情况下,如果并未声明 PRNG 算法带有加密保护,那么它很可能就是统计学的 PRNG,因此不应在对安全性要求较高的环境中使用,否则会导致严重的漏洞(如易于猜测的密码、可预测的加密密钥、Session Hijacking 和 DNS Spoofing)。
Insecure Randomness引发对随机数生成器抵挡加密攻击的方法
Ashes
09-26 4271
一、由nextInt()实施的随机数生成器不能抵挡加密攻击 1、不安全随机数:电脑是一种具有确定性的机器,因此不可能产生真正的随机性。随机数生成器 (PRNG)  近似于随机算法,始于一个能计算后续数的种子。 2、PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料, 但其输出结果很容易预测,因此数据流容易复制。若
Math.random()随机数漏洞修复方案
u014728240的博客
09-16 4679
利用Web Cryptography API生成真随机数,修复因为Math.random生成随机数导致的漏洞
怎样不更改Docker配置文件的情况下 解决unknown flag: --insecure-registry
05-25
如果你在使用 Docker 时遇到了 "unknown flag: --insecure-registry" 错误,这通常是由于 Docker 对于不安全的仓库需要进行额外的配置所致。有两种方法可以解决这个问题,而不需要更改 Docker 配置文件。 方法一:在 Docker 命令中使用 --insecure-registry 标志 你可以在运行 Docker 命令时添加 --insecure-registry 标志来解决该问题。例如,如果你要从一个不安全的仓库拉取镜像,可以使用以下命令: ``` docker pull --insecure-registry your-insecure-registry/image-name ``` 你需要将 "your-insecure-registry" 替换为你的不安全仓库地址,将 "image-name" 替换为你要拉取的镜像名称。 方法二:将不安全的仓库地址添加到 Docker 配置文件中的 daemon.json 文件 如果你经常使用不安全的仓库,那么你可以将不安全的仓库地址添加到 Docker 配置文件中的 daemon.json 文件中。你可以按照以下步骤操作: 1. 打开终端并输入以下命令以打开 daemon.json 文件: ``` sudo nano /etc/docker/daemon.json ``` 2. 如果文件为空,则添加以下内容: ``` { "insecure-registries": ["your-insecure-registry"] } ``` 3. 将 "your-insecure-registry" 替换为你的不安全仓库地址。 4. 保存并关闭文件。 5. 重新启动 Docker 服务: ``` sudo service docker restart ``` 这样,你就可以在不更改 Docker 配置文件的情况下,让 Docker 认可你的不安全仓库。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值