当前位置：首页 > news >正文

Make sure that using this pseudorandom number generator is safe here.

news 2025/9/13 11:12:49

问题类型：安全热点

安全问题级别：MEDIUM

一、问题代码

工具类Package：

Java commons-lang3 库 RandomUtils 随机数工具类

import org.apache.commons.lang3.RandomUtils;

用法：

RandomUtils.nextInt(0, 999999999) //生成 0 - Integer.MAX_VALUE 范围的随机数

Random()有安全隐患，相同的种子生成的结果一样，攻击者可能会猜测到下一个结果。

如果在密码相关领域需要使用SecureRandom()，相同的种子，生成的结果也不一样。

二、风险问题

使用伪随机数发生器（PRNG）是安全敏感的。例如，它在过去导致了以下漏洞：

CVE-2013-6386
CVE-2006-3419
CVE-2008-4102

当软件在需要不可预测性的上下文中生成可预测值时，攻击者可能会猜测将生成的下一个值，并使用此猜测来模拟其他用户或访问敏感信息。

由于java.util.Random类依赖于伪随机数生成器，因此此类和相关的java.lang.Math.Random（）方法不应用于安全关键应用程序或保护敏感数据。在这种情况下，应该适当使用java.security.SecureRandom类，该类依赖于加密强随机数生成器（RNG）。

三、如何修复

该问题主要关注随机数的用途是否涉及敏感信息，比如电子钱包、密码、token等。普通的生成随机数字暂可以认为safe。

推荐的安全编码实践

使用“java.security.SecureRandom”之类的加密强随机数生成器（RNG）代替此PRNG。

仅使用生成的随机值一次。

不应公开生成的随机值。如果必须存储它，请确保数据库或文件是安全的。

符合要求的解决方案

SecureRandom random = new SecureRandom(); // Compliant for security-sensitive use cases
byte bytes[] = new byte[20];
random.nextBytes(bytes);

Make sure that using this pseudorandom number generator is safe here.

问题类型：安全热点安全问题级别：MEDIUM 一、问题代码工具类Package： Java commons-lang3 库 RandomUtils 随机数工具类 import org.apache.commons.lang3.RandomUtils; 用法： RandomUtils.nextInt(0, 999999999) //生成 0…...

编程日记 2023/11/29 20:31:50

【C/C++】常见模拟题题解

题解模拟双目运算符一元二次方程求解水仙花数统计学生成绩学生成绩管理模拟选举大小写字符转换最大公约数、最小公倍数字符串反序模拟双目运算符编写一个根据用户键入的两个操作数和一个双目运算符，由计算机输出结果的程序。 #include<stdio.h>int opera…...

编程日记 2023/11/29 20:29:48

TikTok 购物和直播的 5 个简单技巧

TikTok 的一切都很大：应用程序下载量、受众规模和病毒式营销活动。因此，该公司多方面进军社交商务也就不足为奇了。是的，这将是巨大的。自去年年底以来，TikTok Shopping 和TikTok 直播购物活动已在一些市场上线，并将于…...

编程日记 2023/11/29 20:28:47

1. 简介 Batch Normalization是深度学习中常用的技巧，Batch Normalization: Accelerating Deep Network Training by Reducing Internal Covariate Shift (Ioffe and Szegedy, 2015) 第一次介绍了这个方法。这个方法的命名，明明是Standardization, 非…...

编程日记 2023/11/29 20:27:46

BGP基础配置

EBGP是AS之间 IBGP是AS内 R1-R2是EBGP,R4-R5是EBGP R2-R3-R4是IBGP 第一步基础配置：IP地址 [r1-GigabitEthernet0/0/0]ip ad 12.0.0.1 24 [r1-LoopBack0]ip ad 1.1.1.1 32 [r2-GigabitEthernet0/0/0]ip ad 12.0.0.2 24 [r2-LoopBack0]ip ad 2.2.2.2 32 [r2-Loop…...

编程日记 2023/11/29 20:26:45

【开题报告】基于深度学习的驾驶员危险行为检测系统

研究的目的、意义及国内外发展概况研究的目的、意义：我国每年的交通事故绝对数量是一个十分巨大的数字，造成了巨大的死亡人数和经济损失。而造成交通事故的一个很重要原因就是驾驶员的各种危险驾驶操作行为。如果道路驾驶员的驾驶行为能够得到有效识别…...

编程日记 2023/11/29 20:23:42

Linux云服务器打包部署前端Vue项目

1. 打包在项目包的终端使用命令打包成dist文件。 npm run build2. Linux云服务器上创建文件夹 mkdir /home/www/dist注：dist文件夹不用创建，将打包好的dist.zip放进去，然后解压就行。 3. 安装nginx yum install -y nginx4. 修改配置文件…...

编程日记 2023/11/29 20:20:38

Egg.js中Cookie和Session

Cookie HTTP请求是无状态的，但是在开发时，有些情况是需要知道请求的人是谁的。为了解决这个问题，HTTP协议设计了一个特殊的请求头：Cookie。服务端可以通过响应头（set-cookie）将少量数据响应给客户端&#…...

编程日记 2023/11/29 20:18:36

与 PCIe 相比，CXL为何低延迟高带宽？

文章目录前言1. LatencyPCIE 生产者消费则模型结论Flit 包PCIE/CXL.ioCXL.cace & .mem总结 2. BandWidth常见开销CXL.IO Link efficiencyPCIe Link efficiencyCXL.IO bandwidthCXL.mem/.cache bandwidth 参考前言 CXL 规范里没有具体描述与PCIe 相比低延时高带宽的原因&…...

编程日记 2023/11/29 20:17:35

Vue 入门指南：从零开始学习 Vue 的基础知识

🥝VUE官方文档注意： 📒Vue 2 将于 2023 年 12 月 31 日停止维护。详见 Vue 2 延长 LTS。📒Vue 2 中文文档已迁移至 v2.cn.vuejs.org。📒想从 Vue 2 升级？请参考迁移指南。文章目录 🍁前言&am…...

编程日记 2023/11/29 20:16:33

11.docker的网络-docker0的理解及bridge网桥模式的介绍与实例

1.docker0的基本理解安装完docker服务后，我们首先查看一下宿主机的网络配置 ifconfig我们可以看到，docker服务会默认在宿主机上创建一个虚拟网桥docker0，该网桥网络的名字称为docker0。它在内核层连通了其他物理或者虚拟网卡，这…...

编程日记 2023/11/29 20:15:32

新材料制造ERP用哪个好?企业应当如何挑选适用的

有些新材料存在特殊性，并且在制造过程中对车间、设备、工艺、人员等方面提出更高的要求。还有些新材料加工流程复杂，涉及多种材料的请购、出入库、使用和管理等环节，解决各个业务环节无缝衔接问题是很多制造企业面临的管理难题。新材料制造…...

编程日记 2023/11/29 20:14:30

vr小鼠虚拟解剖实验教学平台减少了受感染风险

家畜解剖实验教学是培养畜牧兽医专业学生实际操作能力的专业教学活动中的核心手段。采取新型教学方式与手段，合理设置实验教学内容，有助于激发学生的操作积极性，促进实践教学的改革。家畜解剖VR仿真教学是一种借助VR虚拟现实制作和web3d开发…...

编程日记 2023/11/29 20:13:30

【算法萌新闯力扣】：环形链表及环形链表II

力扣题目：环形链表及环形链表II 开篇今天是备战蓝桥杯的第26天和算法村开营第4天。挑选了链表的黄金关卡与大家分享。题目一：环形链表题目链接: 141.环形链表题目描述方法一、哈希表判断是否有环，可以利用哈希表，遍历…...

编程日记 2023/11/29 20:12:29

10.docker的网络network-概述

1.docker的网络模式 docker共有四种网路模式，分别是bridge、host、none和container. 1.1 bridge bridge,也称为虚拟网桥。在bridge模式下，为每个容器分配、配置IP等，并将容器连接到一个docker0。使用–network bridge命令指定，…...

编程日记 2023/11/29 20:11:27

CodeTON Round #7 (Div. 1 + Div. 2)

A.jagged Swaps 题意： 给出一个包含 n n n个数字的序列，每次可以选择一个同时大于左右两边相邻的数字，将这个数字与它右边的数字交换，问能否在经过若干次操作后使序列变为升序。分析： 由于交换只能向后进行&#…...

编程日记 2023/11/29 20:10:26

剑指 Offer（第2版）面试题 10：斐波那契数列

剑指 Offer（第2版）面试题 10：斐波那契数列剑指 Offer（第2版）面试题 10：斐波那契数列解法1：递归解法2：动态规划解法3：动态规划 - 空间优化剑指 Offer（第2版&…...

编程日记 2023/11/29 20:09:26

Debian 12 / Ubuntu 22.04 安装 Docker 以及 Docker Compose 教程

Debian 12 / Ubuntu 22.04 安装 Docker 以及 Docker Compose 教程本文将指导如何在 Debian 12 和 Ubuntu 22.04 下安装 Docker 以及 Docker Compose。 PS：本文同时适用于 Debian 11 以及 Ubuntu 20.04 什么是 Docker？ Docker 是一种容器化技术&#x…...

编程日记 2023/11/29 20:08:24

Spark_spark参数配置优先级

总结 ： 优先级低-》优先级高 spark-submit 提交的优先级 < scala/java代码中的配置参数 < spark SQL hint spark submit 中提交参数 #!/usr/bin/env bashsource /home/work/batch_job/product/common/common.sh spark_version"/home/work/opt/spark&q…...

编程日记 2023/11/29 20:07:23

ElasticSearch之Search settings

相关参数 indices.query.bool.max_clause_count 本参数当前已失效。 search.max_buckets 本参数用于控制在单个响应中返回的聚合的桶的数量。默认值为65536。本参数允许在elasticsearch.yml中配置，配置样例如下： search.max_buckets: 30或者使用Ela…...

编程日记 2023/11/29 20:06:21

如何在看板中体现优先级变化

在看板中有效体现优先级变化的关键措施包括：采用颜色或标签标识优先级、设置任务排序规则、使用独立的优先级列或泳道、结合自动化规则同步优先级变化、建立定期的优先级审查流程。其中，设置任务排序规则尤其重要，因为它让看板视觉上直观地体…...

编程新知 2025/9/12 4:19:03

微信小程序云开发平台MySQL的连接方式

注：微信小程序云开发平台指的是腾讯云开发先给结论：微信小程序云开发平台的MySQL，无法通过获取数据库连接信息的方式进行连接，连接只能通过云开发的SDK连接，具体要参考官方文档： 为什么？ 因为…...

编程新知 2025/9/2 18:20:54

#Uniapp篇：chrome调试unapp适配

chrome调试设备----使用Android模拟机开发调试移动端页面 Chrome://inspect/#devices MuMu模拟器Edge浏览器：Android原生APP嵌入的H5页面元素定位 chrome://inspect/#devices uniapp单位适配根路径下 postcss.config.js 需要装这些插件 “postcss”: “^8.5.…...

编程新知 2025/9/12 2:12:44

uniapp 开发ios， xcode 提交app store connect 和 testflight内测

uniapp 中配置配置manifest 文档：manifest.json 应用配置 | uni-app官网 hbuilderx中本地打包下载IOS最新SDK 开发环境 | uni小程序SDK hbulderx 版本号：4.66 对应的sdk版本 4.66 两者必须一致本地打包的资源导入到SDK 导入资源 | uni小程序SDK …...

编程新知 2025/9/2 18:24:29

Ubuntu Cursor升级成v1.0

0. 当前版本低使用当前 Cursor v0.50时 GitHub Copilot Chat 打不开，快捷键也不好用，当看到 Cursor 升级后，还是蛮高兴的 1. 下载 Cursor 下载地址：https://www.cursor.com/cn/downloads 点击下载 Linux (x64) ，…...

编程新知 2025/9/12 15:31:26