解决高危问题Insecure Randomness:不安全随机性

最新推荐文章于 2026-06-16 10:16:36 发布

原创最新推荐文章于 2026-06-16 10:16:36 发布 · 548 阅读

2 ·

本内容遵循CC 4.0 BY-SA版权协议

GEO检测

标签

#安全 #java #spring boot

收录于

文章讲述了在部署SSM项目时遇到的高危问题InsecureRandomness，涉及不安全随机性。解决方案是使用Java.security.SecureRandom的加密PRNG，替换原有Random()生成随机数。测试机构提供了直观的解决方案示例。

解决高危问题Insecure Randomness:不安全随机性

1、问题概述：

我们向甲方部署一个ssm项目时，甲方要求出具一些列测试报告，包括源代码安全审计测试缺陷报告单，其中有一个问题是高危问题Insecure Randomness:不安全随机性。

2、检测机构提供的提示：

在测试机构出具的报告的解决方案中，对此问题的解决方案是：随机性的安全敏感用法，请使用加密PRNG；Java语言在Java.security.SecureRandom中提供加密PRNG。
ps：人家给出的这份报告还是很棒的，很直观的给出了解决方案，具体代码可直接复制下图。

3、解决方案：

原出错代码，更改为ava.security.SecureRandom即可

Random() random = new Random();
String str = random.nextInt(1000);

修改后

SecureRandom() random = new SecureRandom();
String str = random.nextInt(1000);

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

生瓜蛋子不爱学习

关注关注

2
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

JS-Randomness：此存储库包含JavaScript解决方案，用于解决我每天遇到的随机问题

02-10

JS-Randomness：此存储库包含JavaScript解决方案，用于解决我每天遇到的随机问题

参与评论您还未登录，请先登录后发表或查看评论

java编程遇到{Insecure Randomness}问题对随机数Random和SecureRandom的使用分析

梦游星海的博客

04-28

779

Insecure Randomness这个问题就是原来公司老代码使用random遇到的问题，因为这个类提供的获取随机数的方法是可预测的，random是用来创建伪随机数。所谓伪随机数，是指只要给定一个初始种子产生的随机数列是完全一样的先行同余法为随机数生成器在注重信息安全的应用中，不要使用 LCG 算法生成随机数，要使用SecureRandom。但是唯一好的一点就是不需要处理异常和抛异常。

Insecure Randomness 和 Use of Cryptographically Weak PRNG 解决方案

起止洺的博客

12-26

2979

Insecure Randomness 和Use of Cryptographically Weak PRNG 其实是同一种漏洞,Insecure Randomness是由Fortify扫描出来的,Use of Cryptographically Weak PRNG是CheckMarx扫描出来的. 他们其实都是不安全的随机数漏洞. 下面是Fortify对漏洞的描述: 描述标准的伪随机数值生成器...

代码审计中的问题(不安全随机数)

m0_52973251的博客

11-29

954

Fortify漏洞：Insecure Randomness（不安全随机数）指的是代码中使用了不安全或弱随机数生成器导致的安全漏洞。随机数在密码学应用、加密和解密等领域中经常被使用，如果生成的随机数不够随机或不够复杂，则会使得攻击者可以轻易地猜出生成的随机数，从而对系统造成威胁。因此，在安全敏感的应用中，必须使用安全的随机数生成器。下面说的就是弱随机数，因为他通过时间戳相近会使随机数被限定在一个小范围内。

解决Fortify漏洞：Insecure Randomness（不安全随机数）

林夕

06-05

3225

SecureRandom类是Java提供的安全随机数生成器。它利用了操作系统提供的真正随机数种子源，以及其他随机性产生器，生成更加随机和复杂的随机数。使用SecureRandom类生成随机数时，请勿使用默认构造函数，因为它将基于本地时间作为种子生成伪随机数。相反，请使用带有种子参数的构造函数或getInstance()方法创建一个安全的随机数生成器。，需要使用一个安全的随机数生成器来替换当前使用的不安全的随机数生成器。Java中提供了一些安全的随机数生成器，如。

解决高风险代码（含前后端）：Insecure Randomness

qq_45752401的博客

12-13

1838

如果算法不可行，或者您没有为算法明确特定的实现方法，那么会由系统为您选择 SecureRandom 的实。关 Sun 的 SHA1PRNG 算法实现细节的相关记录很少，人们无法了解算法实现中使用的熵的来源，因此也并不。述为计算： “SHA-1 可以计算一个真实的随机种子参数的散列值，同时，该种子参数带有一个 64 比特的计算。统计学的 PRNG 提供很多有用的统计属性，但其输出结果很容易预测，因此容易复制数值流。不管选择了哪一种 PRNG，都要始终使用带有充足熵的数值作为该算法的种子。

#2025年OWASP TOP 10# 一文搞懂什么是Insecure Randomness不安全随机性！！！

soc的博客

01-26

946

Insecure Randomness（不安全随机性）是指在代码中使用了不安全或弱随机数生成器导致的安全漏洞。在安全敏感的应用中，必须使用安全的随机数生成器，否则生成的随机数可能不够随机或复杂，容易被攻击者预测，从而对系统造成威胁。具体来说，不安全随机数生成器（如Java中的Random类）可能会生成可预测的数值，这在需要高度随机性的场景中（如加密、认证、会话管理等）是非常危险的。攻击者可以通过预测这些随机数来实施各种攻击，例如会话劫持、密码破解等。

Fortify漏洞之Insecure Randomness（不安全随机数）

arkqyo2595的博客

06-05

2859

　　继续对Fortify的漏洞进行总结，本篇主要针对 Insecure Randomness 漏洞进行总结，如下： 1、Insecure Randomness（不安全随机数） 1.1、产生原因：　　成弱随机数的函数是 random()。　　电脑是一种具有确定性的机器，因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法，始于一个能计算后续数值的种子。...

Insecure Randomness

lijunlinlijunlin的专栏

04-29

4988

ABSTRACT 标准的伪随机数生成器不能抵挡各种加密攻击。 EXPLANATION 在对安全性要求较高的环境中，使用一个能产生可预测数值的函数作为随机数据源，会产生 Insecure Randomness 错误。电脑是一种具有确定性的机器，因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法，始于一个能计算后续数值的种子。 PRNG 包括两种类型：统计学的

bug：进行安全漏洞扫描被报Insecure Randomness：标准的伪随机数值生成器不能抵挡各种加密攻击。

m0_61869253的博客

02-20

1178

使用了被安全漏洞扫描出high等级的漏洞。尽管我用了后，再用了一些手段处理这个随机数，还是被安全漏洞报警。由于是统计学的 PRNG，攻击者很容易猜到其生成的字符串。推荐使用密码学的PRNG。在 JavaScript 中，常规的建议是使用 Mozilla API 中的函数。

Fortify-Insecure Randomness

烎烎的博客

07-06

726

Insecure Randomness（不安全随机数）无厘头：本是青灯不归客却因浊酒留风尘。星光不问赶路人,岁月不负有心人。漏洞级别：高产生原因：　　成弱随机数的函数是 random()。　　电脑是一种具有确定性的机器，因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法，始于一个能计算后续数值的种子。　　PRNG 包括两种类型：统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料，但其输出结果很容易预测，因此数据流容易复制。若..

Insecure Randomness引发对随机数生成器抵挡加密攻击的方法

Ashes

09-26

4706

一、由nextInt()实施的随机数生成器不能抵挡加密攻击 1、不安全的随机数：电脑是一种具有确定性的机器，因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法，始于一个能计算后续数值的种子。 2、PRNG 包括两种类型：统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料，但其输出结果很容易预测，因此数据流容易复制。若

fortify测试前端js 不能使用Math.random()的问题

10-25

975

const randomNum = parseInt((1 + rnd()) * 65536) + '' //这是采用了自己的随机数函数的。//const randomNum = parseInt((1 + Math.random()) * 65536) + '' //这是原来的。说是Math.random()有漏洞，不知道是个什么鬼，但是不解决就过不去。

Android Converty问题解决方案

张三的博客

04-06

5814

1.线程的使用不建议使用的方法： new Thread() { public void run() { doPost(mContext, url, params, callback); }}.start(); 建议使用： new Thread(new Runnable() {

Fortofy扫描安全漏洞解决——Category: Insecure Randomness

weixin_52536274的博客

12-21

595

在对安全性要求较高的环境中，使用一个能产生可预测数值的函数作为随机数据源，会产生 Insecure Randomness 错误。通常情况下，如果并未声明 PRNG 算法带有加密保护，那么它有可能就是一个统计学的 PRNG，不应在对安全性要求较高的环境中使用，其中随着它的使用可能会导致严重的漏洞（如易于猜测的密码、可预测的加密密钥、会话劫持攻击和 DNS 欺骗）。

Fortify漏洞：Insecure Randomness（不安全随机数）

七一

05-17

650

在对安全性要求较高的环境中，使用能够生成可预测值的函数作为随机数据源，会产生 Insecure Randomness 错误。为保证值的加密安全性，必须使攻击者根本无法、或几乎不可能鉴别生成的随机值和真正的随机值。通常情况下，如果并未声明 PRNG 算法带有加密保护，那么它很可能就是统计学的 PRNG，因此不应在对安全性要求较高的环境中使用，否则会导致严重的漏洞（如易于猜测的密码、可预测的加密密钥、Session Hijacking 和 DNS Spoofing）。

机器学习之RandomForest(随机深林)原理与实战

weixin_41580067的博客

02-19

2994

一、Bagging和Boosting的概念与区别 1、bootstrap sampling(自助采样法) 在训练学习器时，我们希望学习器不仅能很好地拟合训练样本，还可以有较低的泛化误差，因此一般采用留出法和交叉验证法，但是这些方法会受到数据规模的影响，尤其是在原始数据很少的情况下，而留一法又会带来巨大的计算量。因此可以采用自助采样法（bootstrap sampling）。假设当前有一个含...

【鸿蒙】HarmonyOS 安全：加密算法与 HUKS 密钥管理