使用veracode时com.google.android.gms.analytics中的“熵不足(CWE ID 331)”

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了使用veracode时com.google.android.gms.analytics中的“熵不足(CWE ID 331)”相关的知识,希望对你有一定的参考价值。

当使用VERACODE得到Insufficient Entropy时,在android应用程序中使用java.util.Random.nextInt。在我的应用源代码中没有使用Random.nextInt,它用于谷歌分析(com.google.android.gms.analytics)

攻击向量:java.util.Random.nextInt

说明:标准随机数生成器在用于安全目的时不提供足够的熵量。攻击者可以强制使用诸如rand()之类的伪随机数生成器。

答案

听起来您正在使用商业工具来检查潜在的安全漏洞。

GoogleAnalytics是封闭源代码,所以很难确定它是如何使用Random的。因此,很难知道这是否重要,或者是否有解决方法。

但是,您收到的报告非常具体。是的,如果GoogleAnalytics功能需要良好的“随机性”来源,则Random是一个糟糕的选择。但我们不知道是否是这种情况。它可能只是使用随机数生成器来选择它所谈到的谷歌分析服务器......以实现负载平衡。

如果这真的让你担心:

  1. 请联系Veracode制造商,以澄清报告的含义。他们或许可以告诉你这是一个误报。
  2. 联系Google并询问他们是否存在真正的漏洞。

以上是关于使用veracode时com.google.android.gms.analytics中的“熵不足(CWE ID 331)”的主要内容,如果未能解决你的问题,请参考以下文章

如何修复 Veracode - 跨站点脚本 - CWE ID 80 - 基本 XSS - 在 .each 函数中使用 $(item)

使用 java.io.File.createTempFile 时出现 Veracode 不安全临时文件错误

java中动态创建的order by子句在Veracode扫描中显示为sql注入问题

为啥我的函数参数化后 Veracode 仍然报告 CWE-89?

Java Veracode 扫描 - SQL 注入的误报

VeraCode 报告 ServiceStack OrmLite 对 SQL 命令中使用的特殊元素进行了不当中和(“SQL 注入”)(CWE ID 89)