java编程遇到{Insecure Randomness}问题对随机数Random和SecureRandom的使用分析

最新推荐文章于 2023-12-13 09:47:25 发布
最新推荐文章于 2023-12-13 09:47:25 发布
阅读量519 收藏 1
点赞数
文章标签: java Random SecureRandom 随机数 安全随机数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48396625/article/details/130425264
版权

一、Random

Insecure Randomness这个问题就是原来公司老代码使用random遇到的问题,因为这个类提供的获取随机数的方法是可预测的,random是用来创建伪随机数。所谓伪随机数,是指只要给定一个初始种子产生的随机数列是完全一样的
基本算法:linear congruential pseudorandom number generator (LGC) 先行同余法为随机数生成器在注重信息安全的应用中,不要使用 LCG 算法生成随机数,要使用SecureRandom。但是唯一好的一点就是不需要处理异常和抛异常

二、SecureRandom

所以我写了一个工具类用来提供这个方法可以让其地方调这个方法而且不用处理异常

public class SecureRandomUtil {
//生成日志类
    private static Logger logger = LoggerFactory.getLogger(SecureRandomUtil.class);
    public static int getSecureRandom(int size) {
        SecureRandom sr = null;
        try {
            sr = SecureRandom.getInstanceStrong(); // 获取高强度安全随机数生成器
        } catch (NoSuchAlgorithmException e) {
            logger.error(e.getMessage(), e);
            sr = new SecureRandom(); // 获取普通的安全随机数生成器
        }
//限制获取出来的随机数最大值
        int i = sr.nextInt(size);
        return i;
    }
public static int getSecureRandom() {
        SecureRandom sr = null;
        try {
            sr = SecureRandom.getInstanceStrong(); // 获取高强度安全随机数生成器
        } catch (NoSuchAlgorithmException e) {
            logger.error(e.getMessage(), e);
            sr = new SecureRandom(); // 获取普通的安全随机数生成器
        }
        int i = sr.nextInt();
        return i;
    }
}

梦游星海
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fortify漏洞之Insecure Randomness(不安全随机数
arkqyo2595的博客
06-05 2512
  继续对Fortify的漏洞进行总结,本篇主要针对 Insecure Randomness 漏洞进行总结,如下: 1、Insecure Randomness(不安全随机数) 1.1、产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。...
Insecure Randomness
lijunlinlijunlin的专栏
04-29 4839
ABSTRACT 标准的伪随机数生成器不能抵挡各种加密攻击。 EXPLANATION 在对安全性要求较高的环境中,使用一个能产生可预测数值的函数作为随机数据源,会产生 Insecure Randomness 错误。 电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。 PRNG 包括两种类型:统计学的
java之家_java之家
weixin_42351189的博客
02-12 296
import java.util.ArrayList;import java.util.List;import java.util.Random;public class PrimeNumberTest {/** Creates a new instance of PrimeNumberTest */public PrimeNumberTest() { }public static void ma...
[20][03][18] Insecure Randomness
安全新司机
12-26 1171
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 在使用随机数函数时,经常使用 java.util.Random,其使用的是伪随机数生成器(PRNG) 近似于随机算法 PRNG 包括两种类型 统计学的 PRNG 密码学的 PRNG 统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制.若安全性取决于生成数值的不可预测性,则此类型不适用 密码学的 PRNG 通过可产生较难预测的输出结果来应对这一问题.为了使加密数值更为安全,必须使攻击者根本无法,或极不可能
JS-Randomness:此存储库包含JavaScript解决方案,用于解决我每天遇到的随机问题
02-10
"JS-Randomness"这个存储库显然是一个JavaScript爱好者或开发者创建的,用于记录他们在日常编程遇到的各种随机问题及其解决方案。这可能包括各种算法实现、小技巧、性能优化方法或是对JavaScript特性的深入理解和...
java jmx agent不安全的配置漏洞如何改进(由浅入深代码范例和详细说明).docx
06-16
Java JMX(Java Management Extensions)是一种用于监控和管理应用程序的工具,通过使用 JMX Agent,我们可以暴露应用程序的管理和监控接口,从而允许外部管理应用程序的运行状态和配置。然而,如果 JMX Agent 的...
深入理解PHP中mt_rand()随机数安全
01-20
在前段时间挖了不少跟mt_rand()相关的安全漏洞,基本上都是错误理解随机数用法导致的。这里又要提一下php官网manual的一个坑,看下关于mt_rand()的介绍:中文版^cn 英文版^en,可以看到英文版多了一块黄色的 Caution ...
VeraInsecure:故意不安全Java应用程序
03-04
通过分析VeraInsecure项目,我们可以深入理解Java编程中的安全漏洞,并学习如何提升代码安全性。 首先,让我们了解一下什么是VeraInsecure。这个项目的名字本身就是一个暗示,"Vera"取自拉丁语,意为“真实”,而...
问题:本地计算机上的MySQL服务启动后停止,某些服务在未由其他服务或程序使 用时将自动停止。
07-04
这种情况下,某些服务在未由其他服务或程序使用时将自动停止。解决该问题的关键在于正确地安装和配置 MySQL 服务。 问题描述 MySQL 服务启动失败问题是指在本地计算机上安装了 MySQL 服务,但是服务启动后却立即...
解决Fortify漏洞:Insecure Randomness(不安全随机数
林夕
06-05 2410
SecureRandom类是Java提供的安全随机数生成器。它利用了操作系统提供的真正随机数种子源,以及其他随机性产生器,生成更加随机和复杂的随机数使用SecureRandom类生成随机数时,请勿使用默认构造函数,因为它将基于本地时间作为种子生成伪随机数。相反,请使用带有种子参数的构造函数或getInstance()方法创建一个安全随机数生成器。,需要使用一个安全随机数生成器来替换当前使用的不安全随机数生成器。Java中提供了一些安全随机数生成器,如。
Insecure Randomness引发对随机数生成器抵挡加密攻击的方法
Ashes
09-26 4271
一、由nextInt()实施的随机数生成器不能抵挡加密攻击 1、不安全随机数:电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG)  近似于随机算法,始于一个能计算后续数值的种子。 2、PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料, 但其输出结果很容易预测,因此数据流容易复制。若
java由nextint()实施的随机数生成器不能抵挡加密攻击,Fortify漏洞之Insecure Randomness(不安全随机数)...
weixin_39602005的博客
03-22 1717
继续对Fortify的漏洞进行总结,本篇主要针对Insecure Randomness漏洞进行总结,以下:html一、Insecure Randomness(不安全随机数)1.一、产生缘由:成弱随机数的函数是 random()。java电脑是一种具备肯定性的机器,所以不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。算法PRNG 包括两种类型:...
Insecure Randomness 和 Use of Cryptographically Weak PRNG 解决方案
起止洺的博客
12-26 2628
Insecure Randomness 和Use of Cryptographically Weak PRNG 其实是同一种漏洞,Insecure Randomness是由Fortify扫描出来的,Use of Cryptographically Weak PRNG是CheckMarx扫描出来的. 他们其实都是不安全随机数漏洞. 下面是Fortify对漏洞的描述: 描述 标准的伪随机数值生成器...
解决高危问题Insecure Randomness:不安全随机性
emmmeat的博客
11-10 206
我们向甲方部署一个ssm项目时,甲方要求出具一些列测试报告,包括源代码安全审计测试缺陷报告单,其中有一个问题是高危问题Insecure Randomness:不安全随机性。
Fortify-Insecure Randomness
烎烎的博客
07-06 586
Insecure Randomness(不安全随机数) 无厘头:本是青灯不归客 却因浊酒留风尘。星光不问赶路人,岁月不负有心人。 漏洞级别:高 产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。   PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制。若..
解决高风险代码(含前后端):Insecure Randomness
最新发布
qq_45752401的博客
12-13 1137
如果算法不可行,或者您没有为算法明确特定的实现方法,那么会由系统为您选择 SecureRandom 的实。关 Sun 的 SHA1PRNG 算法实现细节的相关记录很少,人们无法了解算法实现中使用的熵的来源,因此也并不。述为计算: “SHA-1 可以计算一个真实的随机种子参数的散列值,同时,该种子参数带有一个 64 比特的计算。统计学的 PRNG 提供很多有用的统计属性,但其输出结果很容易预测,因此容易复制数值流。不管选择了哪一种 PRNG,都要始终使用带有充足熵的数值作为该算法的种子。
【悟空云课堂】第十六期:使用安全的随机值漏洞(CWE-330: Use of Insufficiently Random Values)
Tianqi_Wukong的博客
01-20 1052
【悟空云课堂】第十四期:使用安全的随机值漏洞 什么是使用安全的随机值? 软件依赖于不可预测的数值使用了不充分的随机数导致的安全性降低。 **产生原因:**计算机是一种按照既定算法运行的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。 PRNG包括两种类型:统计学的PRNG和密码学的PRNG。统计学的PRNG可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制。若安全性取决于生成数值的不可预测性,则此类型不适用。密码学的PRNG通过
mysqld --initialize --console和mysqld --initialize-insecure什么却别
10-25
mysqld --initialize和mysqld --initialize-insecure都是用于初始化MySQL数据目录的命令,但是它们之间有一些区别。 mysqld --initialize会生成一个随机密码,并将其记录在error log文件中,需要通过查看error log...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值