java fortify弱密码漏洞使用AES的GCM解决

最新推荐文章于 2025-02-24 17:50:36 发布
最新推荐文章于 2025-02-24 17:50:36 发布
阅读量5.7k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: java fotify 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cleancat/article/details/125525448

java_fortify Scan:

问题:
  1.Weak Encryption
  2.Weak Encryption: Insecure Mode of Operation

问题解释:
  问题1.程序使用了弱加密算法,无法保证敏感数据的保密性。
  问题2.使用某加密方式的某不安全加密模式,例如:AES的ECB模式不安全
  注:本人使用了DES加密导致的问题1,使用了AES的ECB模式导致出现问题2

解决方案:
  使用某安全加密方式的某种安全加密模式,例如:AES的GCM模式

使用AES的GCM模式工具类(JDK1.8):

 

package com.test.common.util;

import javax.crypto.*;
import javax.crypto.spec.GCMParameterSpec;
import javax.crypto.spec.SecretKeySpec;
import java.security.*;
import java.util.Base64;

/**
 * 
 * AES加密工具类(GCM模式)
 */
public class AesUtils {
    private static final String ALGORITHM = "AES";
    private static final String AES_GCM_PADDING = "AES/GCM/NoPadding";

    /**
     * Base64 加密
     *
     * @param plainBytes
     * @return
     */
    public static byte[] encodeByBase64(byte[] plainBytes) {
        if (plainBytes == null) {
            return null;
        }
        return Base64.getEncoder(
最低0.47元/天 解锁文章

200万优质内容无限畅学
[20][03][17] Weak Encryption: Inadequate RSA Padding
安全新司机
12-27 3848
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 公钥RSA加密是在不使用OAEP填充的情况下执行的,因此加密是弱的 Cipher.getInstance("RSA/NONE/NoPadding") 中 RSA/NONE/NoPadding 参数的含义依次是 “算法/模式/填充模式” 加密算法: AES DES DESede(DES3) RSA 模式 密码块链接(CBC) 电子码本(ECB) 密码反馈(CFB) 计数器(CTR) 填充模式: NoPaddin
JavaAES加解密异常java.security.InvalidKeyException: Illegal key size 的解决方法
qq_36498639的博客
01-09 2228
JavaAES加解密异常java.security.InvalidKeyException: Illegal key size
aes-ecb源码
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
01-21 625
头文件: #pragma once #ifndef _AES_H_ #define _AES_H_ #include <stdint.h> // #define the macros below to 1/0 to enable/disable the mode of operation. // // CBC enables AES encryption in CBC-mode of operation. // CTR enables encryption in counter-mo
fortify源码检查处理
weixin_37530941的博客
04-29 2027
1、Key Management: Hardcoded Encryption Key 2、Weak Encryption: Insecure Mode of Operation
weak_encryption_lib_cli:CLI工具可与世界上最弱的密码“ weak_encryption_lib”一起使用
02-12
weak_encryption_lib_cli:CLI工具可与世界上最弱的密码“ weak_encryption_lib”一起使用
Weak Encryption 弱加密安全问题处理
jifgnie的博客
06-26 1885
使用密钥较大的强加密算法来保护敏感数据。作为 DES 的备选强加密算法的示例包括 Rijndael(高级加密标。陈旧的加密算法(如 DES)再也不能为敏感数据提供足够的保护了。得能够在合理的时间内获得较小的加密密钥。加密强度通常通过生成有效密钥所需的时间和计算能力来衡量。使用的 56 位密钥造成了巨大的计算障碍,但今天,使用常用设备能在不到一天的时间内破解 DES。generateRandomKey方法生成随机的AES密钥,然后使用该密钥进行加密和解密操作。程序使用了弱加密算法,无法保证敏感数据的保密性。
weak_encryption_lib:一个用于学习加密和密码工作方式的库...请不要在生产或任何项目中使用它,它实际上是一个弱密码
02-12
weak_encryption_lib:一个用于学习加密和密码工作方式的库...请不要在生产或任何项目中使用它,它实际上是一个弱密码
文本文件使用Vi 加密码提示Using a weak encryption method;
weixin_34067980的博客
07-24 2161
2019独角兽企业重金招聘Python工程师标准>>> ...
RSA实现中弱密钥漏洞分析
No_Name_Cao_Ni_Mei的博客
04-29 893
RSA是目前应用最广泛的公钥加密算法之一,它的安全性取决于大素数的难以分解性。然而,研究发现在RSA实现中存在一种弱密钥漏洞,即通过选择过于接近的素数作为RSA模数来生成密钥对,会导致RSA算法的安全性大打折扣。本文通过分析该弱密钥漏洞的原理和影响,对其进行深入剖析。首先,我们介绍了RSA算法的基本原理和密钥生成过程。然后,我们详细解释了弱密钥漏洞的成因,即模数过于接近时,存在相同或非常相似的素因子,从而使得攻击者可以经过遍历计算得到私钥,进而对加密数据进行解密。
Java安全编程基础:常见漏洞与防御策略
[Java安全编程基础:常见漏洞与防御策略](https://cdn.shortpixel.ai/client/to_webp,q_glossy,ret_img,w_800,h_287/https://www.indusface.com/wp-content/uploads/2020/04/vulnerable-parameter.png) # 1. Java...
【AOSP蓝牙漏洞成因大揭秘】:揭秘漏洞背后的真相
![【AOSP蓝牙漏洞成因大揭秘】:揭秘漏洞背后的真相]...通过历史著名漏洞案例的回顾与影响评估,本文详细说明了漏洞检测方法和修复策略。此外
Java安全工具箱:评估和强化Java应用安全的5大工具
Java作为一种广泛应用的编程语言,在企业级应用中具有举足轻重的地位。随着应用复杂度的提升,安全问题也日益突出。Java应用安全涉及的方面很广泛,从基本的代码安全实践到复杂的安全架构设计,都需要开发者与安全...
Java安全性全面提升】:JDK 8u152安全更新与实践中的关键作用
![【Java安全性全面提升】:JDK 8u152安全更新与实践...文章详细解读了Java安全漏洞的类型、影响及其修复过程,特别是通过加密技术和安全协议改进增强Java应用的安全性。同时,本文提供了安全编程实践的最佳策略和代码
ATT(三)
sui1005316018的博客
07-14 736
5 Writing Attributes 5.1 Write Request Client使用Write Request请求server写入新的attribute value,server回复Write Response表示写入已经完成 Attribute Value表示将要写入的attribute的新的value值 注意: (1)如果server中相关attribute的value的长度是可变的,那么它会根据参数Attribute Value的长度进行缩短或者延伸,如果参数Attribute
Android安全检测 - AES/DES弱加密
qq_35993502的博客
10-12 1566
这一章我们来学习“AES/DES加密方法不安全使用漏洞”,了解这个漏洞发生的原因及其应对的方法,这章内容较短,感兴趣的同学可以去找找CPA攻击。 一、漏洞原理 AES/DES是android程序中常用的两种对称加密算法,其工作模式有ECB、CBC、CFB和OFB。当其使用ECB或OFB工作模式时,加密数据可能被选择明文攻击CPA破解。加密方法失效后可能导致客户端隐私数据泄露,加密文件破解,传输数据被获取,中间人攻击等后果,造成用户敏感信息被窃取。 二、检测手段 检测方法: step1:在代码内全局搜索AES
异常: java.security.InvalidKeyException: Illegal key size
最新发布
undecid的博客
02-24 1055
异常原因:如果密钥大于128, 会抛出java.security.InvalidKeyException: Illegal key size 异常. 因为密钥长度是受限制的, java运行时环境读到的是受限的policy文件. 文件位于${java_home}/jre/lib/security, 这种限制是因为美国对软件出口的控制.如果安装了JRE,将两个jar文件放到%JRE_HOME%\lib\security目录下覆盖原来的文件。解决方案:去官方下载JCE无限制权限策略文件。
java.security.InvalidKeyException: Illegal key size错误
热门推荐
伫望向北的博客
03-26 4万+
使用AES的256位密钥加解密,项目上线后发现生产在加密的时候报java.security.InvalidKeyException: Illegal key size错误,而本地和测试环境都是没问题的。 产生错误原因:为了数据代码在传输过程中的安全,很多时候我们都会将要传输的数据进行加密,然后等对方拿到后再解密使用。我们在使用AES加解密的时候,在遇到128位密钥加解密的时候,没有进行什么特...
Fortify扫描漏洞解决方案
一杯咖啡的渗透记忆
03-23 1万+
Fortify扫描漏洞解决方案: Log Forging漏洞: 1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。 2. 数据写入到应用程序或系统日志文件中。这种情况下,数据通过info()记录下来。为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性,审阅日志文件可在必要...
Linux漏洞修复:SSH Weak Encryption Algorithms Supported|SSH弱加密算法漏洞
Meodream的博客
07-10 5313
在做漏洞扫描时发现有个名为SSH Weak Encryption Algorithms Supporte基本覆盖了内网全面linux服务器,研究一番后,分享给大家 漏洞描述: The following weak client-to-server encryption algorithms are supported by the remote service: 3des-cbc aes128-c...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值