[20][03][18] Insecure Randomness

最新推荐文章于 2025-01-26 13:00:00 发布
最新推荐文章于 2025-01-26 13:00:00 发布
阅读量1.3k 收藏
点赞数 1
分类专栏: 信息安全 文章标签: 信息安全 random fortify
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57672329/article/details/122156759
版权

文章目录

1. 问题描述

在使用随机数函数时,经常使用 java.util.Random,其使用的是伪随机数生成器(PRNG) 近似于随机算法

PRNG 包括两种类型

  • 统计学的 PRNG
  • 密码学的 PRNG

统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制.若安全性取决于生成数值的不可预测性,则此类型不适用

密码学的 PRNG 通过可产生较难预测的输出结果来应对这一问题.为了使加密数值更为安全,必须使攻击者根本无法,或极不可能将它与真实的随机数加以区分

通常情况下,如果并未声明 PRNG 算法带有加密保护,那么它有可能就是一个统计学的 PRNG,不应在对安全性要求较高的环境中使用,其中随着它的使用可能会导致严重的漏洞(如易于猜测的密码,可预测的加密密钥,会话劫持攻击和 DNS 欺骗)

2. 问题场景

日常使用的不安全随机函数

Random random = new Random();
// 使用 Random 随机生成 0 ~ 100 之间的随机数
int randomValue = random.nextInt(100);
// Math.random() 也是 Random 
randomValue = Double.valueOf(Math.random() * 100).intValue();

3. 修复方案

Java 语言在 java.security.SecureRandom 中提供了一个加密 PRNG.就像 java.security 中其他以算法为基础的类那样,SecureRandom 提供了与某个特定算法集合相关的包,该包可以独立实现
当使用 SecureRandom.getInstance() 请求一个 SecureRandom 实例时,您可以申请实现某个特定的算法.如果算法可行,那么您可以将它作为 SecureRandom 的对象使用.如果算法不可行,或者您没有为算法明确特定的实现方法,那么会由系统为您选择 SecureRandom 的实现方法

Random secureRandom = new SecureRandom();
secureRandom.nextInt(100);
Fortify漏洞之Insecure Randomness(不安全随机数)
arkqyo2595的博客
06-05 2689
  继续对Fortify的漏洞进行总结,本篇主要针对 Insecure Randomness 漏洞进行总结,如下: 1、Insecure Randomness(不安全随机数) 1.1、产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。...
Insecure Randomness
lijunlinlijunlin的专栏
04-29 4909
ABSTRACT 标准的伪随机数生成器不能抵挡各种加密攻击。 EXPLANATION 在对安全性要求较高的环境中,使用一个能产生可预测数值的函数作为随机数据源,会产生 Insecure Randomness 错误。 电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。 PRNG 包括两种类型:统计学的
解决Fortify漏洞:Insecure Randomness(不安全随机数)
林夕
06-05 2869
SecureRandom类是Java提供的安全随机数生成器。它利用了操作系统提供的真正随机数种子源,以及其他随机性产生器,生成更加随机和复杂的随机数。使用SecureRandom类生成随机数时,请勿使用默认构造函数,因为它将基于本地时间作为种子生成伪随机数。相反,请使用带有种子参数的构造函数或getInstance()方法创建一个安全的随机数生成器。,需要使用一个安全的随机数生成器来替换当前使用的不安全的随机数生成器。Java中提供了一些安全的随机数生成器,如。
bug:进行安全漏洞扫描被报Insecure Randomness:标准的伪随机数值生成器不能抵挡各种加密攻击。
奶绿走糖的博客
04-11 1580
是统计学的 PRNG,攻击者很容易猜到其生成的字符串。推荐使用密码学的PRNG。在 JavaScript 中,常规的建议是使用 Mozilla API 中的。后,再用了一些手段处理这个随机数,还是被安全漏洞报警。被安全漏洞扫描出high等级的漏洞。
JS-Randomness:此存储库包含JavaScript解决方案,用于解决我每天遇到的随机问题
02-10
"JS-Randomness"这个存储库显然是一个JavaScript爱好者或开发者创建的,用于记录他们在日常编程中遇到的各种随机问题及其解决方案。这可能包括各种算法实现、小技巧、性能优化方法或是对JavaScript特性的深入理解和...
Insecure Randomness 和 Use of Cryptographically Weak PRNG 解决方案
起止洺的博客
12-26 2745
Insecure Randomness 和Use of Cryptographically Weak PRNG 其实是同一种漏洞,Insecure Randomness是由Fortify扫描出来的,Use of Cryptographically Weak PRNG是CheckMarx扫描出来的. 他们其实都是不安全的随机数漏洞. 下面是Fortify对漏洞的描述: 描述 标准的伪随机数值生成器...
java编程遇到{Insecure Randomness}问题对随机数Random和SecureRandom的使用分析
梦游星海的博客
04-28 668
Insecure Randomness这个问题就是原来公司老代码使用random遇到的问题,因为这个类提供的获取随机数的方法是可预测的,random是用来创建伪随机数。所谓伪随机数,是指只要给定一个初始种子产生的随机数列是完全一样的先行同余法为随机数生成器在注重信息安全的应用中,不要使用 LCG 算法生成随机数,要使用SecureRandom。但是唯一好的一点就是不需要处理异常和抛异常。
Insecure Randomness引发对随机数生成器抵挡加密攻击的方法
Ashes
09-26 4463
一、由nextInt()实施的随机数生成器不能抵挡加密攻击 1、不安全的随机数:电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG)  近似于随机算法,始于一个能计算后续数值的种子。 2、PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料, 但其输出结果很容易预测,因此数据流容易复制。若
自定义随机数总结(Random
07-03
自定义随机数,再添加数据是往往想要自己定义一个id好而且还让她没有规律那么这时候就需要随机数了这个例子包括了所有Random 的例子!
解决高危问题Insecure Randomness:不安全随机性
emmmeat的博客
11-10 446
我们向甲方部署一个ssm项目时,甲方要求出具一些列测试报告,包括源代码安全审计测试缺陷报告单,其中有一个问题是高危问题Insecure Randomness:不安全随机性。
Fortify-Insecure Randomness
烎烎的博客
07-06 667
Insecure Randomness(不安全随机数) 无厘头:本是青灯不归客 却因浊酒留风尘。星光不问赶路人,岁月不负有心人。 漏洞级别:高 产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。   PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制。若..
解决高风险代码(含前后端):Insecure Randomness
qq_45752401的博客
12-13 1572
如果算法不可行,或者您没有为算法明确特定的实现方法,那么会由系统为您选择 SecureRandom 的实。关 Sun 的 SHA1PRNG 算法实现细节的相关记录很少,人们无法了解算法实现中使用的熵的来源,因此也并不。述为计算: “SHA-1 可以计算一个真实的随机种子参数的散列值,同时,该种子参数带有一个 64 比特的计算。统计学的 PRNG 提供很多有用的统计属性,但其输出结果很容易预测,因此容易复制数值流。不管选择了哪一种 PRNG,都要始终使用带有充足熵的数值作为该算法的种子。
代码审计中的问题(不安全随机数)
m0_52973251的博客
11-29 451
Fortify漏洞:Insecure Randomness(不安全随机数)指的是代码中使用了不安全或弱随机数生成器导致的安全漏洞。随机数在密码学应用、加密和解密等领域中经常被使用,如果生成的随机数不够随机或不够复杂,则会使得攻击者可以轻易地猜出生成的随机数,从而对系统造成威胁。因此,在安全敏感的应用中,必须使用安全的随机数生成器。下面说的就是弱随机数,因为他通过时间戳相近会使随机数被限定在一个小范围内。
#2025年OWASP TOP 10# 一文搞懂什么是Insecure Randomness不安全随机性!!!
soc的博客
01-26 727
Insecure Randomness(不安全随机性)是指在代码中使用了不安全或弱随机数生成器导致的安全漏洞。在安全敏感的应用中,必须使用安全的随机数生成器,否则生成的随机数可能不够随机或复杂,容易被攻击者预测,从而对系统造成威胁。具体来说,不安全随机数生成器(如Java中的Random类)可能会生成可预测的数值,这在需要高度随机性的场景中(如加密、认证、会话管理等)是非常危险的。攻击者可以通过预测这些随机数来实施各种攻击,例如会话劫持、密码破解等。
Math.random()伪随机数漏洞修复方案
u014728240的博客
09-16 5311
利用Web Cryptography API生成真随机数,修复因为Math.random生成伪随机数导致的漏洞
真伪随机数 ——Random和SecureRandom
weixin_30312563的博客
08-12 1566
Random Random用来创建伪随机数。所谓伪随机数,是指只要给定一个初始的种子,产生的随机数序列是完全一样的。 要生成一个随机数,可以使用nextInt()、nextLong()、nextFloat()、nextDouble(): Random r = new Random(); r.nextInt(); // 2071575453,每次都不一样 r.nextInt(10); // 5,...
fortify测试前端js 不能使用Math.random()的问题
10-25 718
const randomNum = parseInt((1 + rnd()) * 65536) + '' //这是采用了自己的随机数函数的。//const randomNum = parseInt((1 + Math.random()) * 65536) + '' //这是原来的。说是Math.random()有漏洞,不知道是个什么鬼,但是不解决就过不去。
Insecure CAPTCHA
最新发布
02-15
### 不安全的CAPTCHA的安全隐患 不安全的CAPTCHA可能面临多种安全隐患。如果实现不当,攻击者可以通过暴力破解的方式绕过验证机制。例如,在某些情况下,如果程序接收到错误密码则会终止运行[^1]。然而,对于CAPTCHA而言,更常见的是图像处理技术的进步使得机器能够识别简单的图形验证码,从而降低了这些验证码的有效性。 此外,音频形式的CAPTCHA也可能被特定算法解析成功。一些基于逻辑谜题或时间限制的CAPTCHA设计同样存在缺陷,因为它们可以被自动化工具模拟人类行为来解决。这些问题都表明传统类型的CAPTCHA容易受到各种攻击手段的影响。 ### 改善措施 为了提高安全性并防止上述提到的各种威胁,开发者可以从以下几个方面着手改进: #### 增加复杂度 通过引入更多变化因素如扭曲字符形状、增加背景噪声以及采用多层叠加等方式使计算机难以自动解读。这不仅增加了破解难度还保持了一定程度上的人类可读性。 #### 动态调整挑战强度 根据不同风险级别动态改变所呈现给用户的测试难易程度。当检测到异常登录尝试或其他可疑活动时,系统应立即提升认证门槛以增强防护效果。 #### 利用AI对抗AI 利用先进的机器学习模型创建更加智能化且难以模仿的真实用户体验过程作为新的验证方式;同时也可以用来分析潜在恶意流量模式进而提前预警未知漏洞。 ```python import random def generate_complex_captcha(): """生成复杂的CAPTCHA""" chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789' captcha_text = ''.join(random.choice(chars) for _ in range(6)) # 添加干扰线和其他视觉障碍 distorted_image = apply_distortion(captcha_text) return distorted_image, captcha_text def verify_user_input(user_input, correct_answer): """验证用户输入是否匹配正确答案""" if user_input.lower() != correct_answer.lower(): raise ValueError("Invalid input provided.") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值