解决Fortify漏洞:Insecure Randomness(不安全随机数)

简介: 解决Fortify漏洞:Insecure Randomness(不安全随机数)

1. 解释

Fortify漏洞:Insecure Randomness(不安全随机数)指的是代码中使用了不安全或弱随机数生成器导致的安全漏洞。随机数在密码学应用、加密和解密等领域中经常被使用,如果生成的随机数不够随机或不够复杂,则会使得攻击者可以轻易地猜出生成的随机数,从而对系统造成威胁。因此,在安全敏感的应用中,必须使用安全的随机数生成器。

2. 漏洞出现原因

    Random random = new Random();

3. 解决方法

    Insecure Randomness,需要使用一个安全的随机数生成器来替换当前使用的不安全的随机数生成器。Java中提供了一些安全的随机数生成器,如SecureRandom类。

SecureRandom类是Java提供的安全随机数生成器。它利用了操作系统提供的真正随机数种子源,以及其他随机性产生器,生成更加随机和复杂的随机数。使用SecureRandom类生成随机数时,请勿使用默认构造函数,因为它将基于本地时间作为种子生成伪随机数。相反,请使用带有种子参数的构造函数或getInstance()方法创建一个安全的随机数生成器。

//需要换成
SecureRandom sr = new SecureRandom()即可

0ab21dd14e11486e8022ed9de69301d7.png

目录
相关文章
|
安全 Ubuntu 算法
CVE-2014-0224:OpenSSL在Heartbleed之后再爆“CCS”新漏洞
重要的互联网基础工具OpenSSL在Heartbleed“心脏出血”漏洞发生不久后,于2014年6月5日再次修正了一个可以导致中间人攻击的新漏洞“CCS”(CVE-2014-0224)。
1844 0
CVE-2014-0224:OpenSSL在Heartbleed之后再爆“CCS”新漏洞
|
4月前
|
监控 安全 网络安全
初探rce中的无参数rce
无参数RCE虽然不常见,但其隐蔽性和潜在的破坏性使得它成为一种特别危险的安全威胁。防御这类攻击要求开发者和系统管理员具备深刻的安全意识和综合的安全策略。通过持续的安全培训、审计以及运用行业最佳实践,可以有效降低这类风险。安全是一个持续的过程,而不是一次性任务,面对日益复杂的安全威胁,持续的努力和关注是保障数字资产安全的关键。
46 1
|
3月前
NSS [HNCTF 2022 WEEK2]ez_ssrf
NSS [HNCTF 2022 WEEK2]ez_ssrf
32 0
|
5月前
|
运维 监控 安全
JumpServer RCE复现
JumpServer RCE复现
105 1
|
6月前
|
安全 JavaScript 测试技术
记第一次eudsrc拿到RCE(下)
本文是关于网络安全的漏洞测试报告。作者强调所有漏洞已上报并修复,提醒读者不得用于非法目的。文章介绍了三种类型的漏洞:信息泄露、任意文件读取和远程命令执行(RCE)。通过前台CLI命令执行漏洞获取管理员密码后,发现了后台的任意文件读取和RCE漏洞。最后,提出了修复建议,包括限制文件访问、严格验证用户输入以及避免不安全的编程实践。鼓励持续学习和细心观察,以发现潜在的安全问题。
|
6月前
|
SQL 监控 安全
记第一次eudsrc拿到RCE(上)
本文是一篇关于网络安全的漏洞分析报告,首先声明所有漏洞已修复,并警告读者不得用于非法活动。文章介绍了通过信息收集和复现研究,发现了一个CLI命令注入和RCE漏洞。这两个漏洞分别存在于登录页面的用户输入和后台接口中,允许攻击者执行恶意命令。作者提供了POC(Proof of Concept)代码,并展示了如何利用这些漏洞。最后,给出了修复建议,包括更新设备固件、加强访问控制、限制不必要的服务等,并强调了持续学习和关注安全公告的重要性。
|
运维 安全 网络安全
SSL/TLS 存在Bar Mitzvah Attack漏洞
SSL/TLS 存在Bar Mitzvah Attack漏洞
820 0
SSL/TLS 存在Bar Mitzvah Attack漏洞
|
安全 算法 Linux
Cobalt Strike <=4.7 xss复现和NTLM V2窃取(不会RCE)
Cobalt Strike <=4.7 xss复现和NTLM V2窃取(不会RCE)
162 0