Fortify-Insecure Randomness

Insecure Randomness（不安全随机数）

无厘头：本是青灯不归客却因浊酒留风尘。星光不问赶路人,岁月不负有心人。

漏洞级别：高

产生原因：

　　成弱随机数的函数是 random()。

　　电脑是一种具有确定性的机器，因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法，始于一个能计算后续数值的种子。

　　PRNG 包括两种类型：统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料，但其输出结果很容易预测，因此数据流容易复制。若安全性取决于生成数值的不可预测性，则此类型不适用。密码学的 PRNG 通过可产生较难预测的输出结果来应对这一问题。为了使加密数值更为安全，必须使攻击者根本无法、或极不可能将它与真实的随机数加以区分。通常情况下，如果并未声明 PRNG 算法带有加密保护，那么它有可能就是一个统计学的 PRNG，不应在对安全性要求较高的环境中使用，其中随着它的使用可能会导致严重的漏洞（如易于猜测的密码、可预测的加密密钥、会话劫持攻击和 DNS 欺骗）。

解决方式：时间戳

具体操作：(生成四位随机数字)

(new Date()).getTime().toString(16).substring(7)

Fortify-Insecure Randomness相关推荐

解决Fortify漏洞：Insecure Randomness（不安全随机数）
1. 解释 Fortify漏洞:Insecure Randomness(不安全随机数)指的是代码中使用了不安全或弱随机数生成器导致的安全漏洞.随机数在密码学应用.加密和解密等领域中经常被使用,如果生成 ...
用Fortify SCA分析代码漏洞
http://www.cnblogs.com/hyddd/archive/2009/02/23/1396790.html hyddd原创,转载请说明. 上次介绍了用FindBugs辅助分析代码漏洞,这 ...
fortify源代码扫描问题分析汇总
编号漏洞名称漏洞危害修复建议 1 Dynamic Code Evaluation: Unsafe Deserialization 动态代码评估:不安全的反序列化 Actuator正是Spring ...
Fortify扫描漏洞解决方案
目录 Log Forging漏洞: Null Dereference Unreleased Resource: Streams Portability Flaw: File Separator Por ...
Fortify常见漏洞解决方案
阅读文本大概需要3分钟. Log Forging漏洞: 1.数据从一个不可信赖的数据源进入应用程序. 在这种情况下,数据经由getParameter()到后台. 2. 数据写入到应用程序或系统日志文 ...
源码扫描工具Fortify SCA和FireLine对比说明
一.Fortify SCA 1.1软件简介 Fortify SCA是目前业界最为全面的源代码白盒安全测试工具,它能精确定位到代码级的安全问题,完全自动化的完成测试,最广泛的安全漏洞规则,多维度的分析源 ...
fortify java_Fortify SCA扫描JAVA源代码结果总结
1.SQL注入在输入的字符串之中注入恶意的SQL指令,这些注入的指令会被数据库误认为是正常的SQL指令进行执行,是系统遭到破坏. 例: String selectid="select&qu ...
Fortify漏洞修复总结
1.代码注入 1.1 命令注入命令注入是指应用程序执行命令的字符串或字符串的一部分来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证.过滤,导致程序执行恶意命令的一种攻击方式. 问题代码: ...
Fortify SCA 简介
Fortify SCA 是一个静态的.白盒的软件源代码安全测试工具. 它通过内置的五大主要分析引擎:数据流.语义.结构.控制流.配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件 ...
Fortify SCA
Fortify SCA简介 Fortify SCA 是一个静态的.白盒的软件源代码安全测试工具.它通过内置的五大主要分析引擎:数据流.语义.结构.控制流.配置流等对应用软件的源代码进行静态的分析, ...

Fortify-Insecure Randomness

Insecure Randomness（不安全随机数）

Fortify-Insecure Randomness相关推荐

最新文章

热门文章