Fortify 漏洞 由 nextInt() 实施的随机数生成器不能抵挡加密攻击

最新推荐文章于 2023-08-31 16:20:38 发布
最新推荐文章于 2023-08-31 16:20:38 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: Fortify 文章标签: Fortify
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meng8203/article/details/86642505
版权 
亲测可用:

/**
 * 随机数生成
 * @param seed
 * @return
 */
public static int nextInt(int seed){
   return new SecureRandomTest().getRandom(seed);
}

/**
 * 随机数生成
 * @return
 */
public static int nextInt(){
   return new SecureRandomTest().getRandom();
}

public static class SecureRandomTest {
   private static SecureRandom ran;

   public SecureRandomTest(){
      ran = new SecureRandom();
   }
   public int getRandom(int seed) {
      return ran.nextInt(seed);
   }
   public int getRandom() {
      return ran.nextInt();
   }
}
meng8203
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java由nextint()实施随机数生成不能抵挡加密攻击,Fortify漏洞之Insecure Randomness(不安全随机数)...
weixin_39602005的博客
03-22 1738
继续对Fortify漏洞进行总结,本篇主要针对Insecure Randomness漏洞进行总结,以下:html一、Insecure Randomness(不安全随机数)1.一、产生缘由:成弱随机数的函数是 random()。java电脑是一种具备肯定性的机,所以不可能产生真正的随机性。伪随机数生成 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。算法PRNG 包括两种类型:...
java之生成随机数的方式1:Random.nextInt()
静若清池,动如涟漪_
09-26 4556
java中生成随机数的方式之1: 利用 java.util.Random 工具类可以生成随机数,以jdk1.8为例 1、Random对象的创建 我们先来看下Random的构造方法 // 无参构造 public Random(){} // 带参构造 public Random(long seed){} 我们来看一下它的相关源码: /** * ...
java由nextint()实施随机数生成不能抵挡加密攻击,Rand.nextint(a)* B + C(java随机生成问题)...
weixin_34893782的博客
02-26 386
Write code that generates a random odd integer (not divisible by 2) between 50 and 99 inclusive. Fill in the values of the sub-expressions labeled A, B, and C below.Random rand = new Random(); int n =...
Insecure Randomness引发对随机数生成抵挡加密攻击的方法
Ashes
09-26 4287
一、由nextInt()实施随机数生成不能抵挡加密攻击 1、不安全的随机数:电脑是一种具有确定性的机,因此不可能产生真正的随机性。伪随机数生成 (PRNG)  近似于随机算法,始于一个能计算后续数值的种子。 2、PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料, 但其输出结果很容易预测,因此数据流容易复制。若
关于random()跟nextInt()方法过不了公司安评测试
lijinquan2009的专栏
11-08 669
手上的项目最近过不了公司的安平测试,报告处理啊之后,发现问题竟然处在nextInt()跟random()两个方法上面,具体不通过的原因如下: 大概意思就是,这两个系统自带的方法会导致安全信息泄露,因此禁止。然后我就进去查看具体代码,发现如下: 没有进行任何的安全加密,只是验证码生成随机遮掩线条。安评测试的逻辑估计是只要调用这个方法都是不安全的,呵呵!!崩溃了,在线等C友建议如何改善了!...
Fortify漏洞:Insecure Randomness(不安全随机数)
七一
05-17 373
在对安全性要求较高的环境中,使用能够生成可预测值的函数作为随机数据源,会产生 Insecure Randomness 错误。为保证值的加密安全性,必须使攻击者根本无法、或几乎不可能鉴别生成的随机值和真正的随机值。通常情况下,如果并未声明 PRNG 算法带有加密保护,那么它很可能就是统计学的 PRNG,因此不应在对安全性要求较高的环境中使用,否则会导致严重的漏洞(如易于猜测的密码、可预测的加密密钥、Session Hijacking 和 DNS Spoofing)。
fortify安全基础知识 不同语言软件安全漏洞
05-27
Fortify工具通过静态代码分析,能有效地检测上述各类漏洞,提供详细的报告和修复建议。开发者可以通过Fortify的学习和使用,提高代码质量,降低软件安全风险。同时,结合代码审查和持续集成/持续部署(CI/CD)流程,...
代码审计Forfity常见扫描 漏洞原理与修复意见介绍
12-22
漏洞原理:不安全的随机数漏洞发生在代码中使用了不安全的随机数生成算法,例如使用了 `rand` 函数来生成随机数。 危害介绍:不安全的随机数漏洞可能会导致攻击者猜测随机数,从而实施攻击,例如猜测会话 ID、密码...
FortifyVulnerabilityExporter:将Fortify漏洞数据导出到GitHub,GitLab,SonarQube等
04-07
Fortify漏洞出口商 介绍 使用快速构建安全软件。 Fortify提供了端到端应用程序安全性解决方案,可以灵活地测试本地和按需扩展和覆盖整个软件开发生命周期。 借助Fortify,您可以及早发现安全问题并以DevOps的速度...
Fortify解决方案手册(中文版).zip
06-16
Fortify解决方案手册(中文版)是一份详细的指南,专门针对使用Fortify和瑞云等工具在代码扫描过程中发现的安全漏洞提供解决方案。这份手册共计244页,全中文内容,旨在帮助开发人员和安全专家更好地理解和修复代码中...
代码审查工具fortify安全问题解决方法
06-02
4. 使用黑名单方法:黑名单方法是一种常见的方法,但是它不能完全避免SQL injection攻击。 结论 在本文中,我们介绍了Fortify扫描出的高中低危问题解决方法,并提供了详细的解决方案。我们还详细介绍了如何解决SQL...
next()、nextInt()和nextLine()的使用注意事项
难不难的博客
05-29 2559
前两天又学习了一遍java,老师让写了一个简单的登陆系统,在写Scanner接收字符串时忘了怎么写了,我觉得接收int是nextInt,接收字符串时难不成是nextString,于是我就写了上去,提示没有这个方法,于是我就去百度,看到了next后也没仔细看就写了上去,到了老师检查时,老师让我输入一个带空格的登陆名,果不其然报了异常,所以下来后总结了一下。   next()一定要读取到有效字符后...
fortify java_Fortify SCA扫描JAVA源代码结果总结
weixin_39929813的博客
02-15 626
1.SQL注入在输入的字符串之中注入恶意的SQL指令,这些注入的指令会被数据库误认为是正常的SQL指令进行执行,是系统遭到破坏。例:String selectid="select"+id+" from StuInfo ";或:String selectid="select id from StuInfo where id="+id;上述两句SQL查询语句没有对输入进行限制,用户可以随意输入任意字符...
Java代码规范(安全问题) 修改案例
最新发布
DXIANGH的博客
08-31 364
【代码】Java代码规范(安全问题) 修改案例。
fortify——Insecure Randomness
chdyiboke的博客
04-16 4245
This is a Vulnerability. To view all vulnerabilities, please see the Vulnerability Category page. Vulnerabilities Table of Contents Description Standard pseudo-random number generators
int java.util.Random.nextInt(int n)
goodpress的专栏
03-09 5981
<br /> <br /> <br /> <br /> <br /> <br />int java.util.Random.nextInt(int n)<br /> nextIntpublic int nextInt(int n)Returns a pseudorandom, uniformly distributed int value between 0 (inclusive) and the specified value (exclusive), drawn from this rand
【web漏洞百例】3.Sql注入、不安全的随机数
程序猿之洞
03-28 5202
一、Sql注入 描述: 通过不可信来源的输入构建动态SQL指令,攻击者就能够修改指令的含义或者执行任意SQL命令。 举例: Sql注入错误会在以下情况发生 1.数据从一个不可信赖的数据源进入程序。 2.数据用于动态地构造一个SQL语句 使用Java的MyBatis/iBatis框架可以指定SQL指令中的动态参数,通常使用#字符来定义它们,如: SELECT * F
fortify Authentication漏洞
05-12
Fortify Authentication漏洞是指在使用Fortify进行应用程序安全检测时,发现应用程序中存在身份验证方面的漏洞。这些漏洞可能会导致攻击者绕过身份验证机制,从而获得未授权的访问权限。 常见的Fortify ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值