蹉跎莫遣韶光老,人生唯有读书好。这篇文章主要讲述使用veracode时com.google.android.gms.analytics中的“熵不足(CWE ID 331)”相关的知识,希望能为你提供帮助。
当使用VERACODE得到Insufficient Entropy时,在android应用程序中使用java.util.Random.nextInt。在我的应用源代码中没有使用Random.nextInt,它用于谷歌分析(com.google.android.gms.analytics)
攻击向量:java.util.Random.nextInt
说明:标准随机数生成器在用于安全目的时不提供足够的熵量。攻击者可以强制使用诸如rand()之类的伪随机数生成器。
答案听起来您正在使用商业工具来检查潜在的安全漏洞。
GoogleAnalytics是封闭源代码,所以很难确定它是如何使用Random的。因此,很难知道这是否重要,或者是否有解决方法。
但是,您收到的报告非常具体。是的,如果GoogleAnalytics功能需要良好的“随机性”来源,则Random是一个糟糕的选择。但我们不知道是否是这种情况。它可能只是使用随机数生成器来选择它所谈到的谷歌分析服务器......以实现负载平衡。
【使用veracode时com.google.android.gms.analytics中的“熵不足(CWE ID 331)”】如果这真的让你担心:
- 请联系Veracode制造商,以澄清报告的含义。他们或许可以告诉你这是一个误报。
- 联系Google并询问他们是否存在真正的漏洞。
推荐阅读
- Unity(Android的构建和运行不可用)
- Google跟踪代码管理器+ React App =错误的标题
- SearchView在Android应用中泄漏内存
- Android中用于kotlin的静态等价物,以避免处理程序内存泄漏
- [Android活动已泄漏com.android.internal.policy.impl.phonewindow $ decorview问题窗口
- 垃圾收集器没有像在Android应用程序中那样释放“捶打内存”
- Android FFmpeg(对atof,log2和log2f的未定义引用)
- 将RTSP流保存到android中的mp4文件
- 如何在java中使用ffmpeg-cli-wrapper使用ffmpeg下载m3u8文件()