java fortify弱密码漏洞使用AES的GCM解决

最新推荐文章于 2024-04-29 23:12:11 发布
原创 最新推荐文章于 2024-04-29 23:12:11 发布 · 5.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

java_fortify Scan:

问题:
  1.Weak Encryption
  2.Weak Encryption: Insecure Mode of Operation

问题解释:
  问题1.程序使用了弱加密算法,无法保证敏感数据的保密性。
  问题2.使用某加密方式的某不安全加密模式,例如:AES的ECB模式不安全
  注:本人使用了DES加密导致的问题1,使用了AES的ECB模式导致出现问题2

解决方案:
  使用某安全加密方式的某种安全加密模式,例如:AES的GCM模式

使用AES的GCM模式工具类(JDK1.8):

 

package com.test.common.util;

import javax.crypto.*;
import javax.crypto.spec.GCMParameterSpec;
import javax.crypto.spec.SecretKeySpec;
import java.security.*;
import java.util.Base64;

/**
 * 
 * AES加密工具类(GCM模式)
 */
public class AesUtils {
    private static final String ALGORITHM = "AES";
    private static final String AES_GCM_PADDING = "AES/GCM/NoPadding";

    /**
     * Base64 加密
     *
     * @param plainBytes
     * @return
     */
    public static byte[] encodeByBase64(byte[] plainBytes) {
        if (plainBytes == null) {
            return null;
        }
        return Base64.getEncoder(
最低0.47元/天 解锁文章
fortify源代码扫描问题分析汇总
Websec
07-21 1万+
编号 漏洞名称 漏洞危害 修复建议 1 Dynamic Code Evaluation: Unsafe Deserialization 动态代码评估:不安全的反序列化 Actuator正是Spring Boot提供的对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。在使用...
JavaAES加解密异常java.security.InvalidKeyException: Illegal key size 的解决方法
qq_36498639的博客
01-09 2448
JavaAES加解密异常java.security.InvalidKeyException: Illegal key size
fortify源码检查处理
weixin_37530941的博客
04-29 2103
1、Key Management: Hardcoded Encryption Key 2、Weak Encryption: Insecure Mode of Operation
Weak Encryption 弱加密安全问题处理
jifgnie的博客
06-26 2034
使用密钥较大的强加密算法来保护敏感数据。作为 DES 的备选强加密算法的示例包括 Rijndael(高级加密标。陈旧的加密算法(如 DES)再也不能为敏感数据提供足够的保护了。得能够在合理的时间内获得较小的加密密钥。加密强度通常通过生成有效密钥所需的时间和计算能力来衡量。使用的 56 位密钥造成了巨大的计算障碍,但今天,使用常用设备能在不到一天的时间内破解 DES。generateRandomKey方法生成随机的AES密钥,然后使用该密钥进行加密和解密操作。程序使用了弱加密算法,无法保证敏感数据的保密性。
weak_encryption_lib_cli:CLI工具可与世界上最弱的密码“ weak_encryption_lib”一起使用
02-12
weak_encryption_lib_cli:CLI工具可与世界上最弱的密码“ weak_encryption_lib”一起使用
package cn.axa.ams.util; import javax.crypto.Cipher; import javax.crypto.spec.SecretKeySpec; import java.io.UnsupportedEncodingException; import java.util.Base64; /** * AES算法工具类 * * @author - ex_liuxiang * @date - 2018-10-29 17:46 */ public class AESUtil { private static final String ENCODE_CHARSET = "GBK"; private static final String ENCODE_ALGORITHM = "AES"; private static final String ENCODE_TRANSFORMATION = "AES/ECB/PKCS5Padding"; /** * AES加密转16进制(只包含字母和数字) * * @param rule(长度仅支持16bytes) * @param content 明文 * @return String * @author ex_liuxiang */ @Deprecated public static String AESEncodeWithHex(String rule, String content) throws Exception { byte[] result = cipher(buildSecretKey(rule), content.getBytes(ENCODE_CHARSET), Cipher.ENCRYPT_MODE); return bytes2Hex(result); } /** * 16进制字符AES解密 * * @param rule 加密规则(长度仅支持16bytes) * @param content 密文 * @return String * @author ex_liuxiang */ @Deprecated public static String AESDecodeWithHex(String rule, String content) throws Exception { byte[] result = cipher(buildSecretKey(rule), hex2Bytes(content), Cipher.DECRYPT_MODE); return new String(result, ENCODE_CHARSET); } /** * AES加密 - 推荐使用AESEncodeWithHex() * * @param rule(长度仅支持16bytes) * @param content 明文 * @return String * @author ex_liuxiang */ public static String AESEncode(String rule, String content) throws Exception { byte[] result = cipher(buildSecretKey(rule), content.getBytes(ENCODE_CHARSET), Cipher.ENCRYPT_MODE); return Base64.getEncoder().encodeToString(result); } /** * AES解密 * * @param rule 加密规则(长度仅支持16bytes) * @param content 密文 * @return String * @author ex_liuxiang */ public static String AESDecode(String rule, String content) throws Exception { byte[] contentBytes = Base64.getDecoder().decode(content); byte[] result = cipher(buildSecretKey(rule), contentBytes, Cipher.DECRYPT_MODE); return new String(result, ENCODE_CHARSET); } /** * byte数组转16进制字符串 * * @param bytes byte数组 * @return String * @author ex_liuxiang */ @Deprecated private static String bytes2Hex(byte[] bytes) { StringBuffer sb = new StringBuffer(bytes.length); String hex; for (byte b : bytes) { hex = Integer.toHexString(0xFF & b); if (hex.length() < 2) { sb.append(0); } sb.append(hex.toUpperCase()); } return sb.toString(); } /** * 16进制字符串转byte数组 * * @param hex 16进制字符串 * @return byte[] * @author ex_liuxiang */ @Deprecated private static byte[] hex2Bytes(String hex) { String str = "0123456789ABCDEF"; char[] hexs = hex.toCharArray(); byte[] bytes = new byte[hex.length() / 2]; int n; for (int i = 0; i < bytes.length; i++) { n = str.indexOf(hexs[2 * i]) * 16; n += str.indexOf(hexs[2 * i + 1]); bytes[i] = (byte) (n & 0xff); } return bytes; } /** * 构建密钥 * * @param rule 加密规则(长度仅支持16bytes) * @return SecretKeySpec * @author ex_liuxiang */ private static SecretKeySpec buildSecretKey(String rule) throws UnsupportedEncodingException { return new SecretKeySpec(rule.getBytes(ENCODE_CHARSET), ENCODE_ALGORITHM); } /** * 加密明文(解密密文) * * @param secretKey 密钥 * @param input 明文(密文) * @param mode 加密:Cipher.ENCRYPT_MODE,解密:Cipher.DECRYPT_MODE * @return byte[] * @author ex_liuxiang */ public static byte[] cipher(SecretKeySpec secretKey, byte[] input, int mode) throws Exception { Cipher cipher = Cipher.getInstance(ENCODE_TRANSFORMATION); cipher.init(mode, secretKey); return cipher.doFinal(input); } } 该java工具类使用的是AES的ECB模式进行加解密处理,现在被fortify扫描出来Weak Encryption: Insecure Mode of Operation漏洞,推荐使用AESGCM模式进行加密。现在要将该工具类调整为使用AESGCM模式加密的应该怎么调整该类
最新发布
12-16
要将使用 AES 的 ECB 模式进行加解密处理的 Java 工具类调整为使用 AESGCM 模式进行加密,需要进行以下几个关键步骤的修改: ### 1. 修改加密模式和填充方式 将加密模式从 `AES/ECB/PKCS5Padding` 改为 `AES/...
Java安全编码与代码审计实践指南
开发者应优先使用强算法如AES-256进行对称加密,RSA-2048以上用于非对称加密,并结合安全的模式如GCM(提供认证加密)。同时,避免自行实现加密逻辑,应使用标准库如`javax.crypto`包,并注意密钥管理——不应将密钥...
Java安全编程基础:常见漏洞与防御策略
[Java安全编程基础:常见漏洞与防御策略](https://cdn.shortpixel.ai/client/to_webp,q_glossy,ret_img,w_800,h_287/https://www.indusface.com/wp-content/uploads/2020/04/vulnerable-parameter.png) # 1. Java...
【AOSP蓝牙漏洞成因大揭秘】:揭秘漏洞背后的真相
![【AOSP蓝牙漏洞成因大揭秘】:揭秘漏洞背后的真相]...通过历史著名漏洞案例的回顾与影响评估,本文详细说明了漏洞检测方法和修复策略。此外
weak_encryption_lib:一个用于学习加密和密码工作方式的库...请不要在生产或任何项目中使用它,它实际上是一个弱密码
02-12
weak_encryption_lib:一个用于学习加密和密码工作方式的库...请不要在生产或任何项目中使用它,它实际上是一个弱密码
sm1加密算法的几种模式
03-26
文档中讲解的sm1加密算法的几种模式,对几种工作模式的使用,工作流程和原理讲述的清楚
文本文件使用Vi 加密码提示Using a weak encryption method;
weixin_34067980的博客
07-24 2187
2019独角兽企业重金招聘Python工程师标准>>> ...
RSA实现中弱密钥漏洞分析
No_Name_Cao_Ni_Mei的博客
04-29 1109
RSA是目前应用最广泛的公钥加密算法之一,它的安全性取决于大素数的难以分解性。然而,研究发现在RSA实现中存在一种弱密钥漏洞,即通过选择过于接近的素数作为RSA模数来生成密钥对,会导致RSA算法的安全性大打折扣。本文通过分析该弱密钥漏洞的原理和影响,对其进行深入剖析。首先,我们介绍了RSA算法的基本原理和密钥生成过程。然后,我们详细解释了弱密钥漏洞的成因,即模数过于接近时,存在相同或非常相似的素因子,从而使得攻击者可以经过遍历计算得到私钥,进而对加密数据进行解密。
[20][03][17] Weak Encryption: Inadequate RSA Padding
安全新司机
12-27 3918
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 公钥RSA加密是在不使用OAEP填充的情况下执行的,因此加密是弱的 Cipher.getInstance("RSA/NONE/NoPadding") 中 RSA/NONE/NoPadding 参数的含义依次是 “算法/模式/填充模式” 加密算法: AES DES DESede(DES3) RSA 模式 密码块链接(CBC) 电子码本(ECB) 密码反馈(CFB) 计数器(CTR) 填充模式: NoPaddin
代码审计For小白
qq_28083513的博客
02-22 1970
前言:对于没从事过开发的人来说,代码审计是有不小的挑战的,要快速上手,就需要一些小技巧了。详情请看“审计关键”。 Java常见漏洞Top10: 日志伪造Log Forging:将未经验证的用户输入写入日志文件可致使攻击者伪造日志条目或将恶意信息内容注入日志。 示例代码: public void risk(HttpServletRequest request, HttpServletRespons...
ATT(三)
sui1005316018的博客
07-14 795
5 Writing Attributes 5.1 Write Request Client使用Write Request请求server写入新的attribute value,server回复Write Response表示写入已经完成 Attribute Value表示将要写入的attribute的新的value值 注意: (1)如果server中相关attribute的value的长度是可变的,那么它会根据参数Attribute Value的长度进行缩短或者延伸,如果参数Attribute
AES工具类及漏铜修复
weixin_42324471的博客
09-27 4975
使用Sonar扫描代码是发现AES工具类提示如下漏洞 很明显。漏洞存在于红色方框 Cipher cipher = Cipher.getInstance(“Blowfish/ECB/PKCS5Padding”); 查看漏洞详细信息,可以看到漏洞的现象情况,及正确示例 存在漏洞使用方式 Cipher c0 = Cipher.getInstance("AES"); // Noncompliant: by default ECB mode is chosen Cipher c1 = Cipher.getIn
Android安全检测 - AES/DES弱加密
qq_35993502的博客
10-12 1648
这一章我们来学习“AES/DES加密方法不安全使用漏洞”,了解这个漏洞发生的原因及其应对的方法,这章内容较短,感兴趣的同学可以去找找CPA攻击。 一、漏洞原理 AES/DES是android程序中常用的两种对称加密算法,其工作模式有ECB、CBC、CFB和OFB。当其使用ECB或OFB工作模式时,加密数据可能被选择明文攻击CPA破解。加密方法失效后可能导致客户端隐私数据泄露,加密文件破解,传输数据被获取,中间人攻击等后果,造成用户敏感信息被窃取。 二、检测手段 检测方法: step1:在代码内全局搜索AES
ATT(二)
sui1005316018的博客
07-14 1731
三、ATTRIBUTE PDU 1、有6种类型的PDU: (1)Requests:由client发送给server,server需要回复responses (2)Responses:由server发送给client,用来回复client的request (3)Commands:由client发送给server (4)Notifications:由server主动发送给client,不需要client允许 (5)Indications:由server主动发送给client,不需要client允许,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值