Insecure Randomness 和 Use of Cryptographically Weak PRNG 解决方案

最新推荐文章于 2023-12-13 09:47:25 发布
最新推荐文章于 2023-12-13 09:47:25 发布
阅读量2.6k 收藏 6
点赞数
分类专栏: web漏洞 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35976271/article/details/103709844
版权

Insecure Randomness 和Use of Cryptographically Weak PRNG 其实是同一种漏洞,Insecure Randomness是由Fortify扫描出来的,Use of Cryptographically Weak PRNG是CheckMarx扫描出来的. 他们其实都是不安全的随机数漏洞.

下面是Fortify对漏洞的描述:

描述

标准的伪随机数值生成器不能抵挡各种加密攻击。

解释说明

在对安全性要求较高的环境中,使用能够生成可预测值的函数作为随机数据源,会产生 Insecure Randomness 错误。 电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器(PRNG) 近似于随机算法,始于一个能计算后续数值的种子。 PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 提供很多有用的统计属性,但其输出结果很容易预测,因此容易复制数值流。
在安全性所依赖的生成值不可预测的情况下,这种类型并不适用。密码学的 PRNG 生成的输出结果较难预测,可解决这一问题。为保证值的加密安全性,必须使攻击者根本无法、或几乎不可能鉴别生成的随机值和真正的随机值。通常情况下,如果并未声明 PRNG 算法带有加密保护,那么它很可能就是统计学的 PRNG,因此不应在对安全性要求较高的环境中使用,否则会导致严重的漏洞(如易于猜测的密码、可预测的加密密钥、Session Hijacking 和 DNS Spoofing)。 示例: 下面的代码可利用统计学的 PRNG 为购买产品后仍在有
效期内的收据创建一个 URL。

function genReceiptURL (baseURL){
var randNum = Math.random();
var re
最低0.47元/天 解锁文章
起止洺
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CWE ID 338:Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG)
Aron2278的博客
08-02 2032
问题描述 产品在安全上下文中使用了伪随机数生成器(PRNG),但加密性不强。 Bad Code // ANTI-PATTERN, do not copy-paste // On windows, default constructor would pick SHA1PRNG algorithm. SecureRandom random1 = new SecureRandom() ; // unseeded random object random1.setSeed(System.currentTimeMil
Fortify漏洞之Insecure Randomness(不安全随机数)
arkqyo2595的博客
06-05 2508
  继续对Fortify的漏洞进行总结,本篇主要针对 Insecure Randomness 漏洞进行总结,如下: 1、Insecure Randomness(不安全随机数) 1.1、产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。...
Insecure Randomness
lijunlinlijunlin的专栏
04-29 4837
ABSTRACT 标准的伪随机数生成器不能抵挡各种加密攻击。 EXPLANATION 在对安全性要求较高的环境中,使用一个能产生可预测数值的函数作为随机数据源,会产生 Insecure Randomness 错误。 电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。 PRNG 包括两种类型:统计学的
Insecure Randomness引发对随机数生成器抵挡加密攻击的方法
Ashes
09-26 4264
一、由nextInt()实施的随机数生成器不能抵挡加密攻击 1、不安全的随机数:电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG)  近似于随机算法,始于一个能计算后续数值的种子。 2、PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料, 但其输出结果很容易预测,因此数据流容易复制。若
[20][03][18] Insecure Randomness
安全新司机
12-26 1165
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 在使用随机数函数时,经常使用 java.util.Random,其使用的是伪随机数生成器(PRNG) 近似于随机算法 PRNG 包括两种类型 统计学的 PRNG 密码学的 PRNG 统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制.若安全性取决于生成数值的不可预测性,则此类型不适用 密码学的 PRNG 通过可产生较难预测的输出结果来应对这一问题.为了使加密数值更为安全,必须使攻击者根本无法,或极不可能
JS-Randomness:此存储库包含JavaScript解决方案,用于解决我每天遇到的随机问题
02-10
综上所述,"JS-Randomness"这个存储库极有可能是JavaScript开发者宝贵的经验分享,涵盖了从基本语法到高级特性的各种问题解决方案,是学习和解决问题的好资源。通过研究其中的代码和笔记,我们可以加深对JavaScript...
解压版MYSQL中文乱码问题解决方案
01-19
指定数据库配置文件bin\mysqld –defaults-file=my.ini –initialize-insecure 指定配置文件my.ini(如果忽略这一步骤的话,配置my.ini将不会生效,有点小坑) 安装数据库:bin/mysqld –install 启动数据库服务:...
docker部署rancher证书过期问题解决方案
04-24
以下是一个详尽的解决方案,涵盖了问题的原因、异常现象以及具体的解决步骤。 **问题原因** Rancher在Docker容器中运行时,会自动生成一个有效期为一年的SSL证书。当这个证书过期后,所有依赖于该证书的HTTPS通信,...
详解HTTP Upgrade-Insecure-Requests
12-22
浏览器Upgrade-Insecure-Requests详解 搭建HTTPS服务器时经常会遇到该请求头
adbd Insecure 2.0
01-07
adbd Insecure(超级adbd)能让您在已经ROOT的设备上强制以ROOT模式运行adbd(注意,如果您运行的是第三方内核,则可能已经具备了这项功能)。如果您的设备上运行的是原生(设备制造商的)内核,那么adbd就会以...
解决高危问题Insecure Randomness:不安全随机性
emmmeat的博客
11-10 199
我们向甲方部署一个ssm项目时,甲方要求出具一些列测试报告,包括源代码安全审计测试缺陷报告单,其中有一个问题是高危问题Insecure Randomness:不安全随机性。
Fortify-Insecure Randomness
烎烎的博客
07-06 585
Insecure Randomness(不安全随机数) 无厘头:本是青灯不归客 却因浊酒留风尘。星光不问赶路人,岁月不负有心人。 漏洞级别:高 产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。   PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制。若..
java编程遇到{Insecure Randomness}问题对随机数Random和SecureRandom的使用分析
梦游星海的博客
04-28 517
Insecure Randomness这个问题就是原来公司老代码使用random遇到的问题,因为这个类提供的获取随机数的方法是可预测的,random是用来创建伪随机数。所谓伪随机数,是指只要给定一个初始种子产生的随机数列是完全一样的先行同余法为随机数生成器在注重信息安全的应用中,不要使用 LCG 算法生成随机数,要使用SecureRandom。但是唯一好的一点就是不需要处理异常和抛异常。
解决Fortify漏洞:Insecure Randomness(不安全随机数)
林夕
06-05 2384
SecureRandom类是Java提供的安全随机数生成器。它利用了操作系统提供的真正随机数种子源,以及其他随机性产生器,生成更加随机和复杂的随机数。使用SecureRandom类生成随机数时,请勿使用默认构造函数,因为它将基于本地时间作为种子生成伪随机数。相反,请使用带有种子参数的构造函数或getInstance()方法创建一个安全的随机数生成器。,需要使用一个安全的随机数生成器来替换当前使用的不安全的随机数生成器。Java中提供了一些安全的随机数生成器,如。
解决高风险代码(含前后端):Insecure Randomness
最新发布
qq_45752401的博客
12-13 1115
如果算法不可行,或者您没有为算法明确特定的实现方法,那么会由系统为您选择 SecureRandom 的实。关 Sun 的 SHA1PRNG 算法实现细节的相关记录很少,人们无法了解算法实现中使用的熵的来源,因此也并不。述为计算: “SHA-1 可以计算一个真实的随机种子参数的散列值,同时,该种子参数带有一个 64 比特的计算。统计学的 PRNG 提供很多有用的统计属性,但其输出结果很容易预测,因此容易复制数值流。不管选择了哪一种 PRNG,都要始终使用带有充足熵的数值作为该算法的种子。
理解cryptographic primitive
漫步量化
12-06 1014
Cyrptographic primitive Cryptographic primitives are well-established, low-level cryptographic algorithms that are frequently used to build cryptographic protocols for computer security systems. These routines include, but are not limited to, one-way has..
真伪随机数 ——Random和SecureRandom
weixin_30312563的博客
08-12 1507
Random Random用来创建伪随机数。所谓伪随机数,是指只要给定一个初始的种子,产生的随机数序列是完全一样的。 要生成一个随机数,可以使用nextInt()、nextLong()、nextFloat()、nextDouble(): Random r = new Random(); r.nextInt(); // 2071575453,每次都不一样 r.nextInt(10); // 5,...
WARNING: Default (insecure) Erlang cookie is in use.
05-30
Erlang是一种编程语言和运行时环境,这个警告信息表示你正在使用Erlang的默认(不安全)cookie。Cookie是Erlang节点之间进行通信时使用的一种身份验证方式。为了确保安全,应该使用随机生成的安全cookie,并将其设置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值