Insecure Randomness引发对随机数生成器抵挡加密攻击的方法

最新推荐文章于 2023-04-28 14:24:17 发布
最新推荐文章于 2023-04-28 14:24:17 发布
阅读量6.9k 收藏 3
点赞数 1
分类专栏: 代码审计 文章标签: Insecure random

一、由nextInt()实施的随机数生成器不能抵挡加密攻击

1、不安全的随机数:电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 

近似于随机算法,始于一个能计算后续数值的种子。

2、 PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料,
但其输出结果很容易预测,因此数据流容易复制。若安全性取决于生成数值的不可预测性,则此类型不适用。
密码学的 PRNG 通过可产生较难预测的输出结果来应对这一问题。为了使加密数值更为安全,必须使攻击者
根本无法、或极不可能将它与真实的随机数加以区分。通常情况下,如果并未声明 PRNG 算法带有加密保护,
那么它有可能就是一个统计学的 PRNG,不应在对安全性要求较高的环境中使用,其中随着它的使用可能会导致
严重的漏洞(如易于猜测的密码、可预测的加密密钥、会话劫持攻击和 DNS 欺骗)。

3、在对安全性要求较高的环境中,使用一个能产生可预测数值的函数作为随机数据源,会产生 
Insecure Randomness 错误。


4、java.util.Random是一个伪随机函数,如果传入的seed值相同的话,返回的随机数者是相同的 。

Random,它的种子是System.currentTimeMillis(),所以它的随机数都是可预测的。
eg: new Random(6).nextInt() 6为种子数

二、解决方法

1、SecureRandom代替Random

[java] view plain copy
  1. import java.security.SecureRandom;  
  2.   
  3. public class SecureRandomTest {  
  4.     private SecureRandom ran;  
  5.   
  6.     public SecureRandomTest(int seed){  
  7.         ran = new SecureRandom();  
  8.     }  
  9.       
  10.     public int getRandom(int seed) {  
  11.         return ran.nextInt();  
  12.     }  
  13.       
  14.     public static void main(String[] args) {  
  15.         int seed = 18;  
  16.         System.out.println(new SecureRandomTest(seed).getRandom(seed));  
  17.     }  
  18. }  

2、ESAPI

参数0100可以随意设置,意思是生成0100之间的随机数,如果你想随机数被预测到概率更低,
不妨将两个参数的差值设置足够大。
[java] view plain copy
  1. import org.owasp.esapi.ESAPI;  
  2.   
  3. public class ESAPINextIntTest {  
  4.     public static void main(String[] args) {  
  5.         int random = ESAPI.randomizer().getRandomInteger(0,100);  
  6.         System.out.println(random);  
  7.     }   
  8. }
ru_li
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入理解PHP中mt_rand()随机数的安全
01-20
前言 在前段时间挖了不少跟mt_rand()相关的安全漏洞,基本上都是错误理解随机数用法导致的。这里又要提一下php官网manual的一个坑,看下关于mt_rand()的介绍:中文版^cn 英文版^en,可以看到英文版多了一块黄色的 Caution 警告 This function does not generate cryptographically secure values, and should not be used for cryptographic purposes. If you need a cryptographically secure value, consider
解决Fortify漏洞:Insecure Randomness(不安全随机数)
林夕
06-05 2384
SecureRandom类是Java提供的安全随机数生成。它利用了操作系统提供的真正随机数种子源,以及其他随机性产生,生成更加随机和复杂的随机数。使用SecureRandom类生成随机数时,请勿使用默认构造函数,因为它将基于本地时间作为种子生成伪随机数。相反,请使用带有种子参数的构造函数或getInstance()方法创建一个安全的随机数生成。,需要使用一个安全的随机数生成来替换当前使用的不安全的随机数生成。Java中提供了一些安全的随机数生成,如。
java由nextint()实施的随机数生成不能抵挡加密攻击,Rand.nextint(a)* B + C(java随机生成问题)...
weixin_34893782的博客
02-26 371
Write code that generates a random odd integer (not divisible by 2) between 50 and 99 inclusive. Fill in the values of the sub-expressions labeled A, B, and C below.Random rand = new Random(); int n =...
Fortify 漏洞 由 nextInt() 实施的随机数生成不能抵挡加密攻击
meng8203的博客
01-25 2762
亲测可用: /** * 随机数生成 * @param seed * @return */ public static int nextInt(int seed){ return new SecureRandomTest().getRandom(seed); } /** * 随机数生成 * @return */ public static int nextInt(){ ...
java编程遇到{Insecure Randomness}问题对随机数Random和SecureRandom的使用分析
梦游星海的博客
04-28 517
Insecure Randomness这个问题就是原来公司老代码使用random遇到的问题,因为这个类提供的获取随机数的方法是可预测的,random是用来创建伪随机数。所谓伪随机数,是指只要给定一个初始种子产生的随机数列是完全一样的先行同余法为随机数生成在注重信息安全的应用中,不要使用 LCG 算法生成随机数,要使用SecureRandom。但是唯一好的一点就是不需要处理异常和抛异常。
JS-Randomness:此存储库包含JavaScript解决方案,用于解决我每天遇到的随机问题
02-10
JavaScript中的Math对象提供了一些方法来生成随机数,如`Math.random()`,但这个方法生成的是0到1之间的浮点数,不包括1,如果需要整数或者特定范围内的随机数,开发者可能需要自定义函数来处理。 另一个可能的问题...
详解HTTP Upgrade-Insecure-Requests
12-22
浏览Upgrade-Insecure-Requests详解 搭建HTTPS服务时经常会遇到该请求头
atomicapp-builder:Atomicapps的生成
05-15
Atomicapp Builder 从构建应用程序映像的应用程序。 用法: atomicapp-builder build [-h] [--cccp-index ... [--registry-insecure] [--check-binar-images] [--keep-tmpdir] [--skip-if-in-registry] [-q | -v]
adbd Insecure 2.0
01-07
adbd Insecure(超级adbd)能让您在已经ROOT的设备上强制以ROOT模式运行adbd(注意,如果您运行的是第三方内核,则可能已经具备了这项功能)。如果您的设备上运行的是原生(设备制造商的)内核,那么adbd就会以...
Insecure Randomness
lijunlinlijunlin的专栏
04-29 1478
This is a Vulnerability. To view all vulnerabilities, please see the Vulnerability Category page. Last revision (mm/dd/yy): 12/20/2013 Vulnerabilities Table of Contents Description Standard p
csrf java随机数_不安全的随机数
weixin_42399813的博客
02-25 1077
代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。1.漏洞描述随机数在计算机应用中使用的比较广泛,最为熟知的便是在密码学中的应用。随机数分为真随机数和伪随机数,我们程序使用的基本都是伪随机数。伪随机又分为强...
fortify——Insecure Randomness
chdyiboke的博客
04-16 4237
This is a Vulnerability. To view all vulnerabilities, please see the Vulnerability Category page. Vulnerabilities Table of Contents Description Standard pseudo-random number generators
nextInt()是无范围的随机数 但是nextInt(n)是从0到n的随机数
a916121151的博客
03-14 2516
nextInt()是无范围的随机数 但是nextInt(n)是从0到n的随机数
如何给随机数加密
fcsfcsfcs的博客
07-21 1441
作者: 字体:[增加 减小] 类型:转载 时间:2013-03-07 我要评论 随机数加密的简单算法,需要的朋友可以参考一下 复制代码代码如下: // 随机数加密算法  A^B = C , A^C =B , B^C = A 异或加密  // Etual  2011-3-14  #include  // 7byte 数据 和 1byte ke
【Java】随机数
热门推荐
星拱北辰的博客
02-12 1万+
本文介绍Java随机数的内容
Android静态安全检测 -> 随机数使用不安全
4lwin博客
06-04 4026
随机数使用不安全 - SecureRandom类 1. API 继承关系 java.lang.Object java.util.Random java.security.SecureRandom 主要方法 构造方法 SecureRandom(byte[ ] seed) SecureRandom()
windows系统mysql: [Warning] Using a password on the command line interface can be insecure 解决方法
最新发布
12-19
以下是解决Windows系统mysql导出报错的方法: 1. 首先,你可以使用--defaults-extra-file选项来指定包含密码的配置文件,以避免在命令行中使用密码。你可以按照以下步骤创建一个配置文件: ```shell echo [client] > "C:\ProgramData\MySQL\mysql.ini" echo password=你的密码 >> "C:\ProgramData\MySQL\mysql.ini" ``` 然后,你可以使用以下命令执行导出: ```shell mysqldump --defaults-extra-file="C:\ProgramData\MySQL\mysql.ini" --single-transaction -h127.0.0.1 -P3306 -uroot test > f:\backup\backup.sql ``` 2. 另一种方法是将密码直接输入到命令行中,但这种方法不够安全。你可以使用以下命令执行导出: ```shell mysqldump --single-transaction -h127.0.0.1 -P3306 -uroot -p test > f:\backup\backup.sql ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值