Fortify-Insecure Randomness

最新推荐文章于 2023-12-13 09:47:25 发布
最新推荐文章于 2023-12-13 09:47:25 发布
阅读量605 收藏 2
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/onlyhqm/article/details/107162084
版权

Insecure Randomness(不安全随机数)

无厘头:本是青灯不归客 却因浊酒留风尘。星光不问赶路人,岁月不负有心人。

漏洞级别:高

产生原因:

  成弱随机数的函数是 random()。 

  电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。 

  PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制。若安全性取决于生成数值的不可预测性,则此类型不适用。密码学的 PRNG 通过可产生较难预测的输出结果来应对这一问题。为了使加密数值更为安全,必须使攻击者根本无法、或极不可能将它与真实的随机数加以区分。通常情况下,如果并未声明 PRNG 算法带有加密保护,那么它有可能就是一个统计学的 PRNG,不应在对安全性要求较高的环境中使用,其中随着它的使用可能会导致严重的漏洞(如易于猜测的密码、可预测的加密密钥、会话劫持攻击和 DNS 欺骗)。

解决方式:时间戳

具体操作:(生成四位随机数字)

(new Date()).getTime().toString(16).substring(7)

 

 

烎烎~
关注
专栏目录
fortify测试前端js 不能使用Math.random()的问题
10-25 538
const randomNum = parseInt((1 + rnd()) * 65536) + '' //这是采用了自己的随机数函数的。//const randomNum = parseInt((1 + Math.random()) * 65536) + '' //这是原来的。说是Math.random()有漏洞,不知道是个什么鬼,但是不解决就过不去。
Fortify漏洞之Insecure Randomness(不安全随机数)
arkqyo2595的博客
06-05 2548
  继续对Fortify的漏洞进行总结,本篇主要针对 Insecure Randomness 漏洞进行总结,如下: 1、Insecure Randomness(不安全随机数) 1.1、产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。...
解决Fortify漏洞:Insecure Randomness(不安全随机数)
林夕
06-05 2555
SecureRandom类是Java提供的安全随机数生成器。它利用了操作系统提供的真正随机数种子源,以及其他随机性产生器,生成更加随机和复杂的随机数。使用SecureRandom类生成随机数时,请勿使用默认构造函数,因为它将基于本地时间作为种子生成伪随机数。相反,请使用带有种子参数的构造函数或getInstance()方法创建一个安全的随机数生成器。,需要使用一个安全的随机数生成器来替换当前使用的不安全的随机数生成器。Java中提供了一些安全的随机数生成器,如。
fortify——Insecure Randomness
chdyiboke的博客
04-16 4248
This is a Vulnerability. To view all vulnerabilities, please see the Vulnerability Category page. Vulnerabilities Table of Contents Description Standard pseudo-random number generators
Insecure Randomness
lijunlinlijunlin的专栏
04-29 4861
ABSTRACT 标准的伪随机数生成器不能抵挡各种加密攻击。 EXPLANATION 在对安全性要求较高的环境中,使用一个能产生可预测数值的函数作为随机数据源,会产生 Insecure Randomness 错误。 电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。 PRNG 包括两种类型:统计学的
Fortify-Vulnerabilities in Java
07-25
9. 不安全的随机数生成(Insecure Randomness) 10. 密码管理不善(Poor Password Management) 11. 竞态条件(Race Conditions) 12. 错误处理不当(Improper Error Handling) 13. 代码质量问题(Code Quality ...
Insecure Randomness 和 Use of Cryptographically Weak PRNG 解决方案
起止洺的博客
12-26 2650
Insecure Randomness 和Use of Cryptographically Weak PRNG 其实是同一种漏洞,Insecure Randomness是由Fortify扫描出来的,Use of Cryptographically Weak PRNG是CheckMarx扫描出来的. 他们其实都是不安全的随机数漏洞. 下面是Fortify对漏洞的描述: 描述 标准的伪随机数值生成器...
代码审计Forfity常见扫描 漏洞原理与修复意见介绍
12-22
2. 不安全的随机数(Insecure Randomness) 不安全的随机数是一种常见的漏洞,它发生在代码中使用了不安全的随机数生成算法,例如使用了 `rand` 函数来生成随机数。这种漏洞可能会导致攻击者猜测随机数,从而实施...
Fortify漏洞:Insecure Randomness(不安全随机数)
七一
05-17 386
在对安全性要求较高的环境中,使用能够生成可预测值的函数作为随机数据源,会产生 Insecure Randomness 错误。为保证值的加密安全性,必须使攻击者根本无法、或几乎不可能鉴别生成的随机值和真正的随机值。通常情况下,如果并未声明 PRNG 算法带有加密保护,那么它很可能就是统计学的 PRNG,因此不应在对安全性要求较高的环境中使用,否则会导致严重的漏洞(如易于猜测的密码、可预测的加密密钥、Session Hijacking 和 DNS Spoofing)。
Fortify解决方案手册(中文版).zip
06-16
Fortify,瑞云等扫描代码所出现的漏洞的解决方案。包含了常规的漏洞解决方案,共244页。描述内容均为中文版
fortify规则包概述
06-01
NULL 博文链接:https://hoochiang.iteye.com/blog/2070813
Insecure Randomness引发对随机数生成器抵挡加密攻击的方法
Ashes
09-26 4320
一、由nextInt()实施的随机数生成器不能抵挡加密攻击 1、不安全的随机数:电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG)  近似于随机算法,始于一个能计算后续数值的种子。 2、PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料, 但其输出结果很容易预测,因此数据流容易复制。若
[20][03][18] Insecure Randomness
安全新司机
12-26 1240
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 在使用随机数函数时,经常使用 java.util.Random,其使用的是伪随机数生成器(PRNG) 近似于随机算法 PRNG 包括两种类型 统计学的 PRNG 密码学的 PRNG 统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制.若安全性取决于生成数值的不可预测性,则此类型不适用 密码学的 PRNG 通过可产生较难预测的输出结果来应对这一问题.为了使加密数值更为安全,必须使攻击者根本无法,或极不可能
解决高危问题Insecure Randomness:不安全随机性
emmmeat的博客
11-10 242
我们向甲方部署一个ssm项目时,甲方要求出具一些列测试报告,包括源代码安全审计测试缺陷报告单,其中有一个问题是高危问题Insecure Randomness:不安全随机性。
解决高风险代码(含前后端):Insecure Randomness
最新发布
qq_45752401的博客
12-13 1254
如果算法不可行,或者您没有为算法明确特定的实现方法,那么会由系统为您选择 SecureRandom 的实。关 Sun 的 SHA1PRNG 算法实现细节的相关记录很少,人们无法了解算法实现中使用的熵的来源,因此也并不。述为计算: “SHA-1 可以计算一个真实的随机种子参数的散列值,同时,该种子参数带有一个 64 比特的计算。统计学的 PRNG 提供很多有用的统计属性,但其输出结果很容易预测,因此容易复制数值流。不管选择了哪一种 PRNG,都要始终使用带有充足熵的数值作为该算法的种子。
代码审计中的问题(不安全随机数)
m0_52973251的博客
11-29 326
Fortify漏洞:Insecure Randomness(不安全随机数)指的是代码中使用了不安全或弱随机数生成器导致的安全漏洞。随机数在密码学应用、加密和解密等领域中经常被使用,如果生成的随机数不够随机或不够复杂,则会使得攻击者可以轻易地猜出生成的随机数,从而对系统造成威胁。因此,在安全敏感的应用中,必须使用安全的随机数生成器。下面说的就是弱随机数,因为他通过时间戳相近会使随机数被限定在一个小范围内。
Fortify软件安全解决方案详解
"这份资源是Fortify Software Security Assurance Solution的官方内部资料,包含了关于Fortify产品的详细介绍和研讨会内容,强调了软件安全的新防御策略。资料中提到Fortify在多个行业如电子 commerce、银行金融、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值