1. 解释

Fortify漏洞:Insecure Randomness(不安全随机数)指的是代码中使用了不安全或弱随机数生成器导致的安全漏洞。随机数在密码学应用、加密和解密等领域中经常被使用,如果生成的随机数不够随机或不够复杂,则会使得攻击者可以轻易地猜出生成的随机数,从而对系统造成威胁。因此,在安全敏感的应用中,必须使用安全的随机数生成器。

2. 漏洞出现原因

     Random random = new Random();

3. 解决方法

     Insecure Randomness,需要使用一个安全的随机数生成器来替换当前使用的不安全的随机数生成器。Java中提供了一些安全的随机数生成器,如SecureRandom类。

SecureRandom类是Java提供的安全随机数生成器。它利用了操作系统提供的真正随机数种子源,以及其他随机性产生器,生成更加随机和复杂的随机数。使用SecureRandom类生成随机数时,请勿使用默认构造函数,因为它将基于本地时间作为种子生成伪随机数。相反,请使用带有种子参数的构造函数或getInstance()方法创建一个安全的随机数生成器。

//需要换成
SecureRandom sr = new SecureRandom()即可

解决Fortify漏洞:Insecure Randomness(不安全随机数)相关推荐

  1. 解决Fortify漏洞:Portability Flaw: Locale Dependent Comparison

    目录 1:发生原因 2:示例 3:修复方案 1:发生原因 当涉及到字符串比较或排序等操作时,地区设置相关的比较(Locale Dependent Comparison)是一个常见的可移植性漏洞.这个漏 ...

  2. SpringBoot项目中解决Fortify漏洞Log Forging日志伪造

    欢迎大家关注我的公众号[老周聊架构],Java后端主流技术栈的原理.源码分析.架构以及各种互联网高并发.高性能.高可用的解决方案. 一.例子 下列 Web 应用程序代码会尝试从一个请求对象中读取整数值 ...

  3. fortify漏洞修复笔记

    1.insecure randomness 不安全随机数 解决方法:使用SecureRandom sr = new SecureRandom() 替换Random sr = new Random() ...

  4. Fortify漏洞修复总结

    1.代码注入 1.1 命令注入 命令注入是指应用程序执行命令的字符串或字符串的一部分来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证.过滤,导致程序执行恶意命令的一种攻击方式. 问题代码: ...

  5. iOS:解决pod的Insecure world writable dir问题

    iOS:解决pod的Insecure world writable dir问题 参考文章: (1)iOS:解决pod的Insecure world writable dir问题 (2)https:// ...

  6. 解决fortify扫描出的Code Correctness: Double-Checked Locking问题(java语言)

    现有java代码如下: ... if (fitz == null) {   synchronized (this) {     if (fitz == null) {       fitz = new ...

  7. php ceil 漏洞,Fortify漏洞修复总结

    1.代码注入 1.1 命令注入 问题代码: $dir = $_POST['dir'] exec("cmd.exe /c dir" + $dir); 修复方案: (1)程序对非受信的 ...

  8. 解决log4j2漏洞遭到挖矿、僵尸进程病毒攻击

    1.前因 在2019年12月份,爆出来的log4j2漏洞,当时可谓满城风雨.当时自己的一个框架刚好从log4j升级到log4j2.按照当时的方案,临时做了修复,但终究还是抵不过残酷的现实,该来的始终还 ...

  9. Fortify漏洞之Path Manipulation(路径篡改)

    继续对Fortify的漏洞进行总结,本篇主要针对 Path Manipulation(路径篡改)的漏洞进行总结,如下: 1.Path Manipulation(路径篡改) 1.1.产生原因: 当满足以 ...

最新文章

  1. 【AI】caffe使用步骤(一):将标注数据生成lmdb或leveldb
  2. 关于float的说明
  3. Linux Ethercat主站
  4. 为什么long类型的变量需要加L初始化
  5. ZooKeeper相关资料集锦
  6. PrefixSpan算法原理总结
  7. 谷歌、阿里巴巴他们都来了,你呢?
  8. workplace background
  9. 阶乘与 pi 的关系 —— 斯特林公式(Stirling formula)
  10. easyexcel 在 设置标题_EasyExcel 自定义单元格式的问题。
  11. android eventbus view,Android-EventBus框架详细介绍与简单实现
  12. initwithcoder和 initwithframe 区别?
  13. 漫谈Clustering:高斯混合模型(GMM)
  14. MyBatis教程看这一篇就够啦,简单又全面(IDEA版)
  15. 诺,你们要的Python进阶来咯!【函数、类进阶必备】
  16. html站点地图怎么做,sitemap网站地图(站点地图)如何制作以及作用
  17. oj1029统计素数并求和
  18. winapi检测鼠标是否在任务栏
  19. ARM——开发工具—编译器
  20. 工具--Typora详解

热门文章

  1. linux开gta服务器,linux如何安装和启动mongdb
  2. java三国快打_有哪些好玩有趣的网页小游戏?
  3. 深圳培训python的机构
  4. 删了手机文件的android,技巧:删文件解决安卓手机玩阴阳师会卡
  5. Linux DHCP 服务
  6. css画钟表_CSS3形变——transform与transform-origin画时钟
  7. 计算机学科全球前3‰?不愧是华为的“人才摇篮”
  8. 为单反拍摄照片批量加入地理位置信息(POS点)和EXIF信息
  9. JavaScript数字金额报错undefined (reading ‘toFixed‘)
  10. 套现高达430亿!马云减持阿里巴巴股票,这波操作为何如此熟悉?