当前位置:   article > 正文

bug:进行安全漏洞扫描被报Insecure Randomness:标准的伪随机数值生成器不能抵挡各种加密攻击。_insecure randomness js

insecure randomness js

背景:

使用了Math.random()被安全漏洞扫描出high等级的漏洞。尽管我用了Math.random()后,再用了一些手段处理这个随机数,还是被安全漏洞报警。

由于 Math.random() 是统计学的 PRNG,攻击者很容易猜到其生成的字符串。推荐使用密码学的PRNG。
在 JavaScript 中,常规的建议是使用 Mozilla API 中的 window.crypto.random() 函数。

解决方法:

  1. 先检查打印一下window.crypto有没有值,有就不用走第一二步,可以直接走第三步

  2. 引入第三方库:crypto-js

    npm install crypto-js
    
    • 1
  3. 在 main.js 全局注册 cryptojs

    import crypto from 'crypto-js'
    Vue.use(crypto)
    
    • 1
    • 2
  4. 使用,在需要使用的地方插入代码,
    将这串代码Math.random()替代成这串crypto.getRandomValues(randomValuesArray)[0]

    const randomValuesArray = new Uint32Array(1)
    const randomValue= crypto.getRandomValues(randomValuesArray)[0]
    
    • 1
    • 2

顺嘴一提:
fortify扫描的漏洞 —— Key Management: Empty Encryption Key
把报的关键字【key】换一个参数名即可。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小小林熬夜学编程/article/detail/675762
推荐阅读
相关标签
  

闽ICP备14008679号