我们在各种Drupal模块上运行Fortify扫描,常见的关键/高结果是“不安全的随机性”.它指出rand()函数不能承受加密攻击.
我的问题-这是一个严重的问题吗?如何在PHP中修复它?
谢谢.
解决方法:
这个问题的答案完全取决于您使用rand()调用结果的结果.
如果您将它们用于加密密钥之类的东西,其中工具的安全性取决于随机数的随机性,那么,是的,这是一个严重的问题.在那种情况下,您不应该调用rand()或mt_rand(),因为它们都不产生足够随机以用于加密用途的“随机”数字.您确实想利用在底层伪随机数生成器(PRNG)上运行的平台-Unix / Linux系统上的/ dev / urandom或Windows系统上的crypto-api-因为对它们进行了广泛的研究并产生了适用于密码系统的真正随机数. PHP并非使访问这些随机源变得如此容易,但是确实存在有关如何进行访问的示例(例如-> http://www.php.net/manual/en/function.mt-rand.php#83655).
如果您将随机数用于其他用途,例如随机化首先向用户显示的选项,或者类似的情况,即所生成的数字未以任何加密方式使用,那么您也许可以摆脱使用rand()或mt_rand().但是,如果您的应用程序/模块依靠良好的随机数来保证其安全性,则如上所述,您确实需要利用OS源.
标签:security,drupal,php
来源: https://codeday.me/bug/20191201/2080883.html
337
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
