Make sure that using this pseudorandom number generator is safe here.
问题类型:安全热点
安全问题级别:MEDIUM
一、问题代码
工具类Package:
Java commons-lang3 库 RandomUtils 随机数工具类
import org.apache.commons.lang3.RandomUtils;
用法:
RandomUtils.nextInt(0, 999999999) //生成 0 - Integer.MAX_VALUE 范围的随机数
Random()有安全隐患,相同的种子生成的结果一样,攻击者可能会猜测到下一个结果。
如果在密码相关领域需要使用SecureRandom(),相同的种子,生成的结果也不一样。
二、风险问题
使用伪随机数发生器(PRNG)是安全敏感的。例如,它在过去导致了以下漏洞:
- CVE-2013-6386
- CVE-2006-3419
- CVE-2008-4102
当软件在需要不可预测性的上下文中生成可预测值时,攻击者可能会猜测将生成的下一个值,并使用此猜测来模拟其他用户或访问敏感信息。
由于java.util.Random类依赖于伪随机数生成器,因此此类和相关的java.lang.Math.Random()方法不应用于安全关键应用程序或保护敏感数据。在这种情况下,应该适当使用java.security.SecureRandom类,该类依赖于加密强随机数生成器(RNG)。
三、如何修复
该问题主要关注随机数的用途是否涉及敏感信息,比如电子钱包、密码、token等。普通的生成随机数字暂可以认为safe。
推荐的安全编码实践
使用“java.security.SecureRandom”之类的加密强随机数生成器(RNG)代替此PRNG。
仅使用生成的随机值一次。
不应公开生成的随机值。如果必须存储它,请确保数据库或文件是安全的。
符合要求的解决方案
SecureRandom random = new SecureRandom(); // Compliant for security-sensitive use cases
byte bytes[] = new byte[20];
random.nextBytes(bytes);相关文章:
Make sure that using this pseudorandom number generator is safe here.
问题类型:安全热点 安全问题级别:MEDIUM 一、问题代码 工具类Package: Java commons-lang3 库 RandomUtils 随机数工具类 import org.apache.commons.lang3.RandomUtils; 用法: RandomUtils.nextInt(0, 999999999) //生成 0…...
【C/C++】常见模拟题题解
题解 模拟双目运算符一元二次方程求解水仙花数统计学生成绩学生成绩管理模拟选举大小写字符转换最大公约数、最小公倍数字符串反序 模拟双目运算符 编写一个根据用户键入的两个操作数和一个双目运算符,由计算机输出结果的程序。 #include<stdio.h>int opera…...
TikTok 购物和直播的 5 个简单技巧
TikTok 的一切都很大:应用程序下载量、受众规模和病毒式营销活动。因此,该公司多方面进军社交商务也就不足为奇了。是的,这将是巨大的。自去年年底以来,TikTok Shopping 和TikTok 直播购物活动已在一些市场上线,并将于…...
神经网络中BN层简介及位置分析
1. 简介 Batch Normalization是深度学习中常用的技巧,Batch Normalization: Accelerating Deep Network Training by Reducing Internal Covariate Shift (Ioffe and Szegedy, 2015) 第一次介绍了这个方法。 这个方法的命名,明明是Standardization, 非…...
BGP基础配置
EBGP是AS之间 IBGP是AS内 R1-R2是EBGP,R4-R5是EBGP R2-R3-R4是IBGP 第一步基础配置:IP地址 [r1-GigabitEthernet0/0/0]ip ad 12.0.0.1 24 [r1-LoopBack0]ip ad 1.1.1.1 32 [r2-GigabitEthernet0/0/0]ip ad 12.0.0.2 24 [r2-LoopBack0]ip ad 2.2.2.2 32 [r2-Loop…...
【开题报告】基于深度学习的驾驶员危险行为检测系统
研究的目的、意义及国内外发展概况 研究的目的、意义:我国每年的交通事故绝对数量是一个十分巨大的数字,造成了巨大的死亡人数和经济损失。而造成交通事故的一个很重要原因就是驾驶员的各种危险驾驶操作行为。如果道路驾驶员的驾驶行为能够得到有效识别…...
Linux云服务器打包部署前端Vue项目
1. 打包 在项目包的终端使用命令打包成dist文件。 npm run build2. Linux云服务器上创建文件夹 mkdir /home/www/dist注:dist文件夹不用创建,将打包好的dist.zip放进去,然后解压就行。 3. 安装nginx yum install -y nginx4. 修改配置文件…...
Egg.js中Cookie和Session
Cookie HTTP请求是无状态的,但是在开发时,有些情况是需要知道请求的人是谁的。为了解决这个问题,HTTP协议设计了一个特殊的请求头:Cookie。服务端可以通过响应头(set-cookie)将少量数据响应给客户端&#…...
与 PCIe 相比,CXL为何低延迟高带宽?
文章目录 前言1. LatencyPCIE 生产者消费则模型结论Flit 包PCIE/CXL.ioCXL.cace & .mem总结 2. BandWidth常见开销CXL.IO Link efficiencyPCIe Link efficiencyCXL.IO bandwidthCXL.mem/.cache bandwidth 参考 前言 CXL 规范里没有具体描述与PCIe 相比低延时高带宽的原因&…...
Vue 入门指南:从零开始学习 Vue 的基础知识
🥝VUE官方文档 注意: 📒Vue 2 将于 2023 年 12 月 31 日停止维护。详见 Vue 2 延长 LTS。📒Vue 2 中文文档已迁移至 v2.cn.vuejs.org。📒想从 Vue 2 升级?请参考迁移指南。 文章目录 🍁前言&am…...
11.docker的网络-docker0的理解及bridge网桥模式的介绍与实例
1.docker0的基本理解 安装完docker服务后,我们首先查看一下宿主机的网络配置 ifconfig我们可以看到,docker服务会默认在宿主机上创建一个虚拟网桥docker0,该网桥网络的名字称为docker0。它在内核层连通了其他物理或者虚拟网卡,这…...
新材料制造ERP用哪个好?企业应当如何挑选适用的
有些新材料存在特殊性,并且在制造过程中对车间、设备、工艺、人员等方面提出更高的要求。还有些新材料加工流程复杂,涉及多种材料的请购、出入库、使用和管理等环节,解决各个业务环节无缝衔接问题是很多制造企业面临的管理难题。 新材料制造…...
vr小鼠虚拟解剖实验教学平台减少了受感染风险
家畜解剖实验教学是培养畜牧兽医专业学生实际操作能力的专业教学活动中的核心手段。采取新型教学方式与手段,合理设置实验教学内容,有助于激发学生的操作积极性,促进实践教学的改革。 家畜解剖VR仿真教学是一种借助VR虚拟现实制作和web3d开发…...
【算法萌新闯力扣】:环形链表及环形链表II
力扣题目:环形链表及环形链表II 开篇 今天是备战蓝桥杯的第26天和算法村开营第4天。挑选了链表的黄金关卡与大家分享。 题目一:环形链表 题目链接: 141.环形链表 题目描述 方法一、哈希表 判断是否有环,可以利用哈希表,遍历…...
10.docker的网络network-概述
1.docker的网络模式 docker共有四种网路模式,分别是bridge、host、none和container. 1.1 bridge bridge,也称为虚拟网桥。在bridge模式下,为每个容器分配、配置IP等,并将容器连接到一个docker0。使用–network bridge命令指定,…...
CodeTON Round #7 (Div. 1 + Div. 2)
A.jagged Swaps 题意: 给出一个包含 n n n个数字的序列,每次可以选择一个同时大于左右两边相邻的数字,将这个数字与它右边的数字交换,问能否在经过若干次操作后使序列变为升序。 分析: 由于交换只能向后进行&#…...
面试题 10:斐波那契数列)
剑指 Offer(第2版)面试题 10:斐波那契数列
剑指 Offer(第2版)面试题 10:斐波那契数列 剑指 Offer(第2版)面试题 10:斐波那契数列解法1:递归解法2:动态规划解法3:动态规划 - 空间优化 剑指 Offer(第2版&…...
Debian 12 / Ubuntu 22.04 安装 Docker 以及 Docker Compose 教程
Debian 12 / Ubuntu 22.04 安装 Docker 以及 Docker Compose 教程 本文将指导如何在 Debian 12 和 Ubuntu 22.04 下安装 Docker 以及 Docker Compose。 PS:本文同时适用于 Debian 11 以及 Ubuntu 20.04 什么是 Docker? Docker 是一种容器化技术&#x…...
Spark_spark参数配置优先级
总结 : 优先级低-》优先级高 spark-submit 提交的优先级 < scala/java代码中的配置参数 < spark SQL hint spark submit 中提交参数 #!/usr/bin/env bashsource /home/work/batch_job/product/common/common.sh spark_version"/home/work/opt/spark&q…...
ElasticSearch之Search settings
相关参数 indices.query.bool.max_clause_count 本参数当前已失效。 search.max_buckets 本参数用于控制在单个响应中返回的聚合的桶的数量。 默认值为65536。 本参数允许在elasticsearch.yml中配置,配置样例如下: search.max_buckets: 30或者使用Ela…...
Linux服务器上Jupyter Notebook的完整配置指南:从安装到开机自启动
Linux服务器Jupyter Notebook企业级部署全攻略:安全、稳定与自动化实践 在数据科学与机器学习领域,Jupyter Notebook已成为不可或缺的交互式开发环境。对于企业级应用而言,如何在Linux服务器上搭建一个安全稳定、支持多用户协作且能长期运行…...
ABB机器人编程避坑指南:从数据类型到运动指令的7个易错点
ABB机器人编程避坑指南:从数据类型到运动指令的7个易错点 第一次在RobotStudio里看到机器人因为数据类型错误突然停止时,我盯着报错信息足足愣了五分钟。这种经历在ABB机器人编程中并不罕见——从数据类型选择到运动指令参数设置,每个环节都可…...
树莓派4B上跑YOLOv8n:用NCNN实现实时目标检测的完整C++代码与踩坑实录
树莓派4B上跑YOLOv8n:用NCNN实现实时目标检测的完整C代码与踩坑实录 在边缘计算设备上部署深度学习模型一直是开发者面临的挑战,尤其是像树莓派4B这样资源有限的平台。本文将分享如何在树莓派4B上使用NCNN框架部署YOLOv8n模型,并实现实时目标…...
SEO检测工具有哪些_使用SEO检测工具需要注意哪些事项
SEO检测工具有哪些 在当前的互联网市场中,SEO(搜索引擎优化)是提高网站流量和品牌知名度的关键手段之一。为了帮助网站达到最佳的SEO效果,SEO检测工具应运而生。市场上有哪些可靠的SEO检测工具呢?常见的有Ahrefs、SEM…...
数据驱动的战斗优化:GBFR Logs全方位解析与实战指南
数据驱动的战斗优化:GBFR Logs全方位解析与实战指南 【免费下载链接】gbfr-logs GBFR Logs lets you track damage statistics with a nice overlay DPS meter for Granblue Fantasy: Relink. 项目地址: https://gitcode.com/gh_mirrors/gb/gbfr-logs 在《碧…...
余姚加工中心编程培训好的培训机构推荐
在浙江余姚这座"中国模具之城",寻找一家优质的加工中心编程培训机构至关重要。舜龙模具数控培训作为当地一家有着28年历史的技术培训机构,值得考虑。舜龙模具数控培训概况舜龙模具数控培训成立于1998年,位于金型路33-5号࿰…...
Go语言SQL构建器goqu与标准库sql对比:为什么选择SQL构建器的完整指南
Go语言SQL构建器goqu与标准库sql对比:为什么选择SQL构建器的完整指南 【免费下载链接】goqu SQL builder and query library for golang 项目地址: https://gitcode.com/gh_mirrors/go/goqu 在Go语言开发中,数据库操作是每个后端开发者必须面对的…...
模拟解析:宽度数组 `[1,2,1]`,10个条目的 XRef 流
文章目录 模拟解析:宽度数组 [1,2,1],10个条目的 XRef 流一、设定场景二、解析代码核心部分(与之前相同)三、逐条解析(模拟 CPU 执行)辅助函数 GetVarInt 回顾条目0 (j0, objnum0)条目1 (j1, objnum1)条目2…...
一文读懂10英寸平板尺寸:从屏幕比例到实际机身尺寸
在平板电脑市场中,"10英寸"这一规格始终占据着黄金地位。但当我们搜索"平板10寸多大长和宽"时,得到的答案往往模糊不清。作为行业观察者,我将为您深度解析10英寸平板尺寸的行业标准、设计逻辑及选购策略,带您…...
BiliBiliCCSubtitle:智能解析引擎驱动的B站字幕处理效率革命
BiliBiliCCSubtitle:智能解析引擎驱动的B站字幕处理效率革命 【免费下载链接】BiliBiliCCSubtitle 一个用于下载B站(哔哩哔哩)CC字幕及转换的工具; 项目地址: https://gitcode.com/gh_mirrors/bi/BiliBiliCCSubtitle 在数字内容产业高速发展的今天࿰…...