SecureRandom1 Math.random 보안 취약 사항 (적절하지 않은 난수값 사용) CWE-330, CWE-338 JavaScript에서 Maht.random값을 사용하니 CWE-330, CWE-338에 대한 보안취약점이 있다는 것을 알게 되었다. GPT는 해당 코드에 대해 다음과같이 설명하고 있다. HTML 삽입 미리보기할 수 없는 소스 즉, 해당 함수는 공격자가 SW에서 생성되는 다음 숫자를 예상하여 시스템을 공격할 수 있다라는 것이다. 따라서 예측하기 어려운 숫자를 생성해야 하는데 다음과 같은 방법으로 대체 가능하다. let uint32Array = new Uint32Array(1); // Web Crypto API를 사용하여 암호학적 PRNG로 임의의 숫자를 생성 window.crypto.getRandomValues(uint32Array); const randomNumber = uint32Array[0] / .. 2024. 3. 7. 이전 1 다음