Android静态安全检测 -> 随机数使用不安全

最新推荐文章于 2024-03-07 11:45:00 发布
最新推荐文章于 2024-03-07 11:45:00 发布
阅读量4k 收藏 2
点赞数
分类专栏: 【Android静态安全检测】 文章标签: Android安全 随机数 SecureRandom
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013107656/article/details/51584440
版权

随机数使用不安全 -SecureRandom

一、API


1. 继承关系


【1】java.lang.Object

【2】java.util.Random

【3】java.security.SecureRandom


2. 主要方法


【1】构造方法

  SecureRandom(byte[ ] seed)

  SecureRandom()


【2】setSeed方法

  setSeed(byte[ ] seed)

  setSeed(long seed)


【3】其他方法


参考链接: http://www.apihome.cn/api/android/SecureRandom.html

二、触发条件


1. 调用SecureRandom类的构造方法SecureRandom(byte[ ] seed)


【1】对应到smali语句中的特征:Ljava/security/SecureRandom;-><init>([B)V


2. 调用方法setSeed(byte[ ] seed)或setSeed(long seed)设置随机种子


【1】对应到smali语句中的特征:Ljava/security/SecureRandom;->setSeed(

三、漏洞原理


【1】生成的随机数具有确定性,存在被破解的风险


【2】详细的原理&POC , 参考链接:


https://jaq.alibaba.com/community/art/show?spm=a313e.7916646.24000001.21.A6yB7E&articleid=47

四、修复建议


【1】不使用setSeed方法


【2】使用/dev/urandom或者/dev/random来初始化伪随机数生成器


4lwin
关注
专栏目录
【QNX+Android虚拟化方案】06 - XBL Loader 阶段 sbl1_main_ctl 函数代码分析
|~~~热爱生活、努力学习的小伙汁~~~|
08-20 660
【QNX+Android虚拟化方案】06 - XBL Loader 阶段 sbl1_main_ctl 函数代码分析
CBK-D5-安全测试与开发.md
最新发布
sdyu_peter的博客
08-06 1117
CBK-D5-安全测试与开发.md 安全评估与测试osg15 软件开发安全osg20、21
csrf java随机数_不安全随机数
weixin_42399813的博客
02-25 1134
代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。1.漏洞描述随机数在计算机应用中使用的比较广泛,最为熟知的便是在密码学中的应用。随机数分为真随机数和伪随机数,我们程序使用的基本都是伪随机数。伪随机又分为强...
【Java代码审计】失效认证及不安全随机数
wangluoanquan111的博客
01-28 1866
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。一般来说,验证码是与Session绑定的,Session生成时,也伴随着验证码的生成和绑定,在访问页面时,接口的请求和验证码的生成通常是异步进行的,这使得两个功能变得相对独立。确保使用强大的、不可预测的密钥来计算服务器上的 HMAC 签名。
Random random = SecureRandom.getInstanceStrong();堵塞线程问题解决
Apollo
06-15 895
sonar扫描到使用Random随机函数不安全, 推荐使用SecureRandom替换,就是他–》【SecureRandom.getInstanceStrong()】,分别在本地,测试环境测过没问题上生产,但是运行了一段时间突然报错!然后还是像那个博主一样,一段一段代码的注释上测试环境才发现问题在哪里,坑就坑在这,在win10环境正常得很,一到linux上面就和个发病的一样生成随机数字卡顿,导致接口请求无响应。sonar推荐的不一定都是适合自己业务场景,只是站在了技术层面考虑,推荐的东西自己还是要慎用!
AndroidSecureRandom类的安全性浅析
fishmen26的专栏
01-10 3120
2013年比特币开发商在一篇博客中透露,由于Android系统存在一处关键漏洞,该平台上的比特币电子钱包很容易失窃。 比特币开发商称,该漏洞影响到Android平台上的每一个比特币电子钱包应用程序,包括流行的比特币钱包(Bitcoin Wallet)、blockchain.info钱包(blockchain.info wallet)、BitcoinSpinner钱包(BitcoinSpinner
Android-Java】随机数产生,使用SecureRandom替代Random
weixin_44002043的博客
04-14 1883
疑问提出 阅读某些源码时候发现采用的是SecureRandom random = new SecureRandom(); rand = random.nextInt(19);//这里的数值是[0,19) 开区间 之前一般都是采用Random对象来实现。不过,该对象最好需要一个seed种子。它产生的序列一般都是伪随机数序列。 SecureRandom这个对象是更高级还是如何? 答疑解惑 真伪随机数 ——RandomSecureRandom ...
Android应用安全检测项目
苛学加记事
07-08 6984
Android应用安全检测项目 使用静态检测引擎对APK文件进行反编译,扫描反编译后的代码文件即可发现应用的安全漏洞。 一般有以下内容,比较有参考价值,部分是平时编码时有可能忽略的问题,在此整理供大家参考。 1. 基础信息 1.1 权限过度声明风险检测 检测应用中是否存在权限滥用情况。 权限是一种安全机制,主要用于限制应用程序内部某些具有限制性特性的功能使用以及应用程序之间的组件访问。Android通过在AndroidManifest.xml中增加权限来控制限制性功能的使用和组件访问。权限滥用是指应用权限开
Android------面试简答题
热门推荐
leehbhs的博客
08-03 2万+
一。.简单概述SVN与Git的区别? 1.GIT是分布式的,SVN不是 2.GIT把内容按元数据方式存储,而SVN是按文件 3.GIT分支和SVN的分支不同 4.GIT没有一个全局的版本号,而SVN有 5.GIT的内容完整性要优于SVN 二.简述listview的优化策略? 1.复用convertView,减少findViewById的次数 2.ListView中数
信息安全工程师第二版考试总结+笔记
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
带有SecureRandom补丁的Android加密库。.zip
03-26
带有SecureRandom补丁的Android加密库。.zip
解决Fortify漏洞:Insecure Randomness(不安全随机数
m0_61869253的博客
03-07 1577
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
android与PC new SecureRandom() 的大坑
irizhao的专栏
06-17 3223
最后发现是SecureRandom的坑。PC与android的结果不一样!特此记录
安全Random
Pure_Eyes的博客
06-26 1658
jdk自带的Random生成随机数放在生产环境是不安全的,存在暴利破解的风险,并且虽然其实线程安全的,但可能发生线程竞争降低效率。 考虑并发性能时可采用ThreadLocalRandom 考虑高安全性时可采用SecureRandom ...
随机数安全的事
weixin_34304013的博客
07-18 320
2019独角兽企业重金招聘Python工程师标准>>> ...
Android 加密方式
12-12 998
加密方式分为rsa,aes,des,md5,base64,异域加密 一:rsa加密 RSA算法是最流行的公钥密码算法,使用长度可以变化的密钥。RSA是第一个既能用于数据加密也能用于数字签名的算法。 RSA算法原理如下: 1.随机选择两个大质数p和q,p不等于q,计算N=pq; 2.选...
安全的端口们
zhangying_0505的博客
03-05 7119
默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。135端口说明:135端口主要用...
安卓开发,关于代码安全的注意点,平常开发中你有没有注意!!!
武壮
11-07 1万+
发扬分享精神,做一个快乐的开发者!看CSDN有好长时间了,感谢那些善于分享的开发者,感谢你们 ,阅读你们的文章,我感觉有很快的进步,我一直也想写博客,把自己的见解和大家分享,只是苦于不知道写些什么,现在机会来了,我要把我研究的一些关于代码安全的试题给大家分享一下,其中参考了很多的网上资源,也有很多自己的理解,可能会有一些偏差,希望大家能够指正.1,关于安卓的剪切板风险. 手机里面的几乎所有的程序
安全芯片密码检测标准-GM/T 0008-2012解析
安全等级1规定芯片内至少有2个物理随机源,通过异或运算生成随机数,且在不同温度条件下满足随机性检测要求。安全等级2则增加了物理随机源的数量至4个,并要求在更广泛的温度和频率条件下保持随机性。安全等级3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值