fortify测试前端js 不能使用Math.random()的问题

于 2023-10-25 15:57:03 发布
阅读量717 收藏
点赞数
分类专栏: vue相关开发,若依框架使用 文章标签: 前端 javascript 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/axe6404/article/details/134036869
版权
在使用Fortify进行前端JavaScript代码扫描时遇到了Insecure Randomness错误,原因是Math.random()被认为存在漏洞。为了解决这个问题,文章提供了一个自定义的随机数生成函数,用以替代Math.random()。通过引入新的随机数生成算法,实现了安全的随机数生成,并将此函数应用到实际的代码中,成功解决了Fortify扫描的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

fortify扫描前端源代码,报Insecure Randomness错误,如何解决呢?

说是Math.random()有漏洞,不知道是个什么鬼,但是不解决就过不去。测试那边也是死板的要命,没办法,只能自己写一个随机数函数了。

在网上查了一下,以下代码有效:

<html>
<head>
<script>
    
    
    rnd.today=new Date();
    rnd.seed=rnd.today.getTime();
    function rnd() {
     rnd.seed = (rnd.seed*9301+49297) % 233280;
     return rnd.seed/(233280.0);
    };
    function rand(number) {
     return Math.ceil(rnd()*number);
    };
    function doooo(){
        alert("1111");
        alert(rnd());
        
        var item=rand(100

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Fortify漏洞之Insecure Randomness(不安全随机数)
arkqyo2595的博客
06-05 2683
  继续对Fortify的漏洞进行总结,本篇主要针对 Insecure Randomness 漏洞进行总结,如下: 1、Insecure Randomness(不安全随机数) 1.1、产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。...
bug:进行安全漏洞扫描被报Insecure Randomness:标准的伪随机数值生成器不能抵挡各种加密攻击。
奶绿走糖的博客
04-11 1579
是统计学的 PRNG,攻击者很容易猜到其生成的字符串。推荐使用密码学的PRNG。在 JavaScript 中,常规的建议是使用 Mozilla API 中的。后,再用了一些手段处理这个随机数,还是被安全漏洞报警。被安全漏洞扫描出high等级的漏洞。
别再用JS里面的Math.random()方法生成随机数
热门推荐
每天都记录一点点!
09-04 3万+
网上常能见到的一段 JS 随机数生成算法如下,为什么用 9301, 49297, 233280 这三个数字做基数? 见到这个随机数生成算法好几次了,乍看有点鸡肋本来用Math.random()就可以的事。想不清楚为什么他要用9301,49297,233280这三个数字?其中有道理吗?还是仅是随意选的三个数?但是这个组合貌似流传很广。好多小网站源码里都见到过。 function
Math.random()伪随机数漏洞修复方案
u014728240的博客
09-16 5308
利用Web Cryptography API生成真随机数,修复因为Math.random生成伪随机数导致的漏洞
解决Fortify漏洞:Insecure Randomness(不安全随机数)
林夕
06-05 2867
SecureRandom类是Java提供的安全随机数生成器。它利用了操作系统提供的真正随机数种子源,以及其他随机性产生器,生成更加随机和复杂的随机数。使用SecureRandom类生成随机数时,请勿使用默认构造函数,因为它将基于本地时间作为种子生成伪随机数。相反,请使用带有种子参数的构造函数或getInstance()方法创建一个安全的随机数生成器。,需要使用一个安全的随机数生成器来替换当前使用的不安全的随机数生成器。Java中提供了一些安全的随机数生成器,如。
js的随机数生成器,不再使用Math.random
非著名coder的窝
05-18 4115
先上代码: var randomNum = (function(){ var today = new Date(); var seed = today.getTime(); function rnd(){ seed = ( seed * 9301 + 49297 ) % 233280; return seed / ( 233280.0 ); }; return function ra
Fortify漏洞修复总结
weixin_30677475的博客
09-21 3845
1.代码注入 1.1 命令注入 命令注入是指应用程序执行命令的字符串或字符串的一部分来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,导致程序执行恶意命令的一种攻击方式。 问题代码: $dir = $_POST['dir'] exec("cmd.exe /c dir" + $dir); 修复方案:(1)程序对非受信的用户输入数据进行净化,删...
Flux集成测试完全攻略:确保应用稳定运行的5大策略
Flux集成测试作为一种确保软件质量和性能的有效手段,已成为现代软件开发流程中不可或缺的一环。本文从基础知识理论出发,全面介绍了集成测试的定义、核心原则以及与单元测试的区别。接着,详细探讨了集成测试工具的...
Insecure Randomness
lijunlinlijunlin的专栏
04-29 4909
ABSTRACT 标准的伪随机数生成器不能抵挡各种加密攻击。 EXPLANATION 在对安全性要求较高的环境中,使用一个能产生可预测数值的函数作为随机数据源,会产生 Insecure Randomness 错误。 电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。 PRNG 包括两种类型:统计学的
前端解决客户端不安全随机数
最新发布
.伊泽瑞尔
07-14 2559
Math.random()、window.crypto.getRandomValues(new Uint8Array(1))
JS-Randomness:此存储库包含JavaScript解决方案,用于解决我每天遇到的随机问题
02-10
JS-Randomness:此存储库包含JavaScript解决方案,用于解决我每天遇到的随机问题
[JS]Math.random()随机数的二三事
TheBadWaka的博客
12-08 4077
原文地址:http://www.soulteary.com/2014/07/05/js-math-random-trick.html [JS]Math.random()的二三事看到题目,如果大家在平时被问到:如何生成一个怎么样怎么样的整数随机数,估计大家都会不屑,但是当你淡定的回答获取一个范围应该是随机数seeds和区间数值差的乘机与最小数相加然后再怎么怎么的时候…有没有发现你的思维已经固化了呢。这
fortify——Insecure Randomness
chdyiboke的博客
04-16 4299
This is a Vulnerability. To view all vulnerabilities, please see the Vulnerability Category page. Vulnerabilities Table of Contents Description Standard pseudo-random number generators
替代Math.random()方案
weixin_45880538的博客
07-08 2405
替换Math.random()不安全漏洞
Fortify-Insecure Randomness
烎烎的博客
07-06 667
Insecure Randomness(不安全随机数) 无厘头:本是青灯不归客 却因浊酒留风尘。星光不问赶路人,岁月不负有心人。 漏洞级别:高 产生原因:   成弱随机数的函数是 random()。   电脑是一种具有确定性的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。   PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG 可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制。若..
js生成一个范围内随机数Math.random
BUG制造者:图图 <p>这是一个P标签</p>
05-21 3064
//random() 方法可返回介于 0 ~ 1 之间的一个随机数。 //生成最小min到最大max的随机数 function random(min,max){ if(min > max){ var ls = min; min = max; max = ls; } return Math.floor(Math.random() * (max-min+1) ) + min;.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阳光正好2024

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值