CWE- CWE-343: Predictable Value Range from Previous Values (4.10)

弱点ID：343

抽象：根据
结构：简单的

View customized information:

Description

产品的随机数生成器会产生一系列值，当观察时，可以使用这些值来推断可以生成的下一个值的相对较小的可能性范围。

Extended Description

基于对先前值的观测值，随机数生成器的输出不应可预测。在某些情况下，攻击者无法预测接下来会产生的确切值，但可以大大缩小可能性。这减少了执行蛮力攻击的努力。例如，假设产品生成1到100之间的随机数，但是它总是产生较大的值直到达到100。如果发电机产生80，则攻击者知道下一个值将在81到100之间。在100种可能性中，攻击者只需要考虑20。

关系

该表显示了与该弱点相关的弱点和高级类别。这些关系定义为childof，parentof，ementof，并深入了解可能存在于较高和较低抽象水平的类似项目。此外，定义了诸如Peerof和Canalsobe之类的关系，以显示用户可能想要探索的类似弱点。

Relevant to the view "Research Concepts" (CWE-1000)

自然	Type	ID	姓名
Childof	班级- a weakness that is described in a very abstract fashion, typically independent of any specific language or technology. More specific than a Pillar Weakness, but more general than a Base Weakness. Class level weaknesses typically describe issues in terms of 1 or 2 of the following dimensions: behavior, property, and resource.	340	生成可预测的数字或标识符

Relevant to the view "Software Development" (CWE-699)

自然	Type	ID	姓名
MemberOf	Category - a CWE entry that contains a set of other entries that share a common characteristic.	1213	Random Number Issues

介绍模式

引言的不同模式提供了有关如何以及何时引入这种弱点的信息。该阶段识别可能发生介绍的生命周期中的一个点，而音符提供了与给定阶段中引言有关的典型情况。

Phase	笔记
Architecture and Design
Implementation

适用的平台

该清单显示了可能出现的弱点的可能区域。这些可能适用于特定的命名语言，操作系统，体系结构，范式，技术或一类此类平台。该平台与给定弱点出现在该实例的频率一起列出。

语言

班级：不是特定语言的（不确定的患病率）

常见后果

该表指定与弱点相关的不同个人后果。该范围确定了违反的应用程序安全区域，而影响描述了如果对手成功利用这一弱点，就会产生负面的技术影响。其可能性提供了有关预期相对于列表中其他后果的特定后果的可能性的信息。例如，可能会利用弱点来实现一定的影响，但很可能会利用它来实现不同的影响。

范围	Impact	可能性
其他	技术影响：随上下文而变化

Potential Mitigations

增加用于播种PRNG的熵。

阶段：建筑和设计；要求

策略：图书馆或框架

使用符合FIPS 140-2的产品或模块[REF-267]避免明显的熵问题。咨询FIPS 140-2附件C（“批准的随机数发生器”）。

Phase: Implementation

使用来自高质量来源的输入，例如具有高熵的硬件设备，使用定期重新种子的PRNG。但是，不要太频繁地重新种子，否则熵源可能会阻止。

Memberships

This MemberOf Relationships table shows additional CWE Categories and Views that reference this weakness as a member. This information is often useful in understanding where a weakness fits within the context of external information sources.

自然	Type	ID	姓名
MemberOf	Category - a CWE entry that contains a set of other entries that share a common characteristic.	905	SFP Primary Cluster: Predictability

笔记

维护

As of CWE 4.5, terminology related to randomness, entropy, and predictability can vary widely. Within the developer and other communities, "randomness" is used heavily. However, within cryptography, "entropy" is distinct, typically implied as a measurement. There are no commonly-used definitions, even within standards documents and cryptography papers. Future versions of CWE will attempt to define these terms and, if necessary, distinguish between them in ways that are appropriate for different communities but do not reduce the usability of CWE for mapping, understanding, or other scenarios.

Taxonomy Mappings

映射的分类名称	节点ID	Fit	映射的节点名称
plover			可预测的值范围从先前的值

References

[Ref-267]国家标准技术研究所信息技术实验室。“密码模块的安全要求”。2001-05-25。<http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf>.

[Ref-320] Michal Zalewski。“奇怪的吸引子和TCP/IP序列编号分析”。2001. <http://www.bindview.com/services/razor/papers/2001/tcpseq.cfm>.

[Ref-44] Michael Howard，David Leblanc和John Viega。“软件安全性的24个致命罪”。“罪20：弱随机数。”第299页。McGraw-Hill。2010年。

内容历史记录

Submissions
Submission Date	提交者	Organization
2006-07-19	plover
2006-07-19
修改
修改日期	Modifier	Organization
2008-07-01	埃里克·达奇（Eric Dalci）	Cigital
2008-07-01	更新的time_of_introduction
2008-09-08	CWE内容团队	MITER
2008-09-08	updated Relationships, Taxonomy_Mappings
2008-10-14	CWE内容团队	MITER
2008-10-14	更新的描述
2009-03-10	CWE内容团队	MITER
2009-03-10	updated Potential_Mitigations
2009-12-28	CWE内容团队	MITER
2009-12-28	updated Potential_Mitigations
2010-06-21	CWE内容团队	MITER
2010-06-21	updated Potential_Mitigations
2011-06-01	CWE内容团队	MITER
2011-06-01	updated Common_Consequences
2011-06-27	CWE内容团队	MITER
2011-06-27	updated Common_Consequences
2011-09-13	CWE内容团队	MITER
2011-09-13	更新势_的限制，参考
2012-05-11	CWE内容团队	MITER
2012-05-11	updated References, Relationships
2012-10-30	CWE内容团队	MITER
2012-10-30	updated Potential_Mitigations
2017-11-08	CWE内容团队	MITER
2017-11-08	updated Applicable_Platforms, References
2020-02-24	CWE内容团队	MITER
2020-02-24	updated Relationships
2021-07-20	CWE内容团队	MITER
2021-07-20	更新的维护_notes
2023-01-31	CWE内容团队	MITER
2023-01-31	更新的描述

Common Weakness Enumeration

CWE-343：可预测的值范围从先前的值


	Site Map\|使用条款\|Privacy Policy\|Contact Us\| Use of the Common Weakness Enumeration (CWE) and the associated references from this website are subject to the使用条款. CWE is sponsored by theU.S. Department of Homeland Security(DHS)网络安全和基础设施安全局（CISA），由国土安全系统工程和开发研究所(HSSEDI) which is operated bymanbetx客户端首页(MITRE). Copyright © 2006–2023, The MITRE Corporation. CWE, CWSS, CWRAF, and the CWE logo are trademarks of The MITRE Corporation.