java fortify硬编码秘钥漏洞使用KeyStore解决

原创 已于 2022-06-29 17:35:20 修改 · 1.9k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

于 2022-06-29 17:32:12 首次发布
本文介绍了解决Java中硬编码加密密钥问题的方法,通过Keystore工具类来生成并存储AES密钥文件,确保秘钥的安全管理。提供了一个KeyStoreUtils类的代码示例,用于秘钥的保存和读取操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

java_fortify Scan:

问题:
1.Key Management: Hardcoded Encryption Key

问题解释:
问题1.秘钥使用硬编码方式。

解决方案:
使用Keystore生成存储AES密钥文件

使用Keystore生成存储AES密钥文件工具类(JDK1.8):

package com.study.util;

import com.study.common.Consts;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.nio.charset.StandardCharsets;
import java.security.*;
import java.security.cert.CertificateException;

/**
 * keystore生成存储AES密钥文件
 * 
 */
public class KeyStoreUtils {

    /**
     * 功能:把秘钥保存到秘钥库文件中
     * @param key  秘钥
     * @param alias 别名
     * @param pdKey 秘钥密码
     * @param pdKeyStore 秘钥库密码
     * @param ksFileName 秘钥库文件名称
     */
    private static void initKeyStore(Key key,String alias,String pdKey,String pdKeyStore,String ksFileName) throws KeyStoreException, CertificateException, NoSuchAlgorithmException, IOException {
        KeyStore keyStore = KeyStore.getInstance("JCEKS");
        keyStore.load(null, nu
最低0.47元/天 解锁文章

200万优质内容无限畅学
linglong扫描系统 JWT密钥硬编码 登录绕过漏洞复现
0xSec
04-27 768
linglong扫描系统 存在默认JWT密钥硬编码漏洞,未经身份验证验证得攻击者可构造JWT密钥绕着身份认证直接登录系统后台,造成信息泄露,使系统处于极不安全的状态。
APP漏洞自动化扫描专业评测报告(上篇)
red_bricks的博客
08-09 4344
目前在业界有很多自动化检测APP安全性的在线扫描平台。为了了解目前国内移动APP在线漏洞扫描平台的发展情况,我进行了一次移动安全扫描平台的评测分析;主要从漏洞项对比、扫描能力对比以及扫描结果这三个方向来对比。
开发安全之:Key Management: Hardcoded Encryption Key
irizhao的专栏
01-19 1201
请勿对加密密钥进行硬编码,因为这样会使所有项目开发人员都能查看该加密密钥,并且还会使解决这一问题变得极其困难。如果受加密密钥保护的帐户遭受入侵,组织将必须在安全性和可用性之间做出选择。应用程序一经发布,除非对程序进行修补,否则将无法更改加密密钥。永远不要将加密密钥签入您的源代码控制系统,也不要对它们进行硬编码。始终在外部源中混淆和管理加密密钥。在系统中的任意位置采用明文形式存储加密密钥会使拥有足够权限的任何人都能够读取并可能误用该加密密钥。硬编码加密密钥可能会削弱安全性,一旦出现安全问题将无法轻易修正。
keystore生成存储AES密钥文件
LOOPY_Y的博客
08-22 1866
keystore存储密钥keystore文件生成cmd命令生成Java代码生成AES密钥存储工具类 参考: https://www.cnblogs.com/f1194361820/p/4266511.html https://blog.youkuaiyun.com/lishizhen1991/article/details/78195305 keystore文件生成 cmd命令生成 找到并进入到jre的bin文件夹 C:\Users\ge-ji>where java C:\Program Files (x
解决秘钥硬编码安全问题
键盘的起始页
06-30 3611
下面给一个方案,对数据进行变形。算法如下:对每一个字节做一次循环右移对每一个字节用一个表的数据做位异或操作转为16进制数目前没有安全的方法保存秘钥,除非使用硬件来解决(后台的加密机使用的就是硬件,秘钥放在芯片里),所以本地保存数据需要遵循:需要长久更安全的保存,使用keychain的方式保存不要保存敏感信息,如果要保存需要先做脱敏任何时候都不要保存密码。
java硬编码
heymysweetheart的专栏
07-24 2860
1. 注意到了“\n”的硬编码问题,使用 System.getProperty("line.separator") 代替,增加平台扩展性。
Atlassian 修复严重的Confluence 硬编码凭据漏洞
smellycat000的专栏
07-21 469
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Atlassian 修复了Confluence Server and Data Center 中一个严重的硬编码凭据漏洞 (CVE-2022-26138),它可导致远程未认证攻击者登录到易受攻击的未修复服务器。该硬编码密码是在安装 Questions for Confluence app(版本2.7.34、2.7.35和...
fortify源码检查处理
weixin_37530941的博客
04-29 2022
1、Key Management: Hardcoded Encryption Key 2、Weak Encryption: Insecure Mode of Operation
Java面试笔记:安全】32.如何写出安全的Java代码?
最新发布
RickyIT的专栏
05-01 780
编写安全的Java代码需要从设计到实现的每个环节都遵循安全最佳实践。安全的Java代码需要: - 最小权限原则(如数据库账户只读)。 - 深度防御(多层防护机制)。 - 持续更新依赖和补丁(如修复Log4j漏洞)。 - 团队安全培训(提升安全意识)。 通过工具自动化(如CI/CD集成安全检查)和严格代码审查,可显著降低安全风险。
Java安全编程:企业应用防护策略,攻防兼备
Java作为一种广泛使用的编程语言,其安全性一直受到开发者的重视。理解Java安全编程的基础是构建企业级应用和确保用户数据安全的先决条件。本章将概述Java安全编程的基本概念,从安全架构的组成开始,深入探讨类加载...
【从dex文件看安全漏洞】:专业分析,教你如何在安卓平台上检测和防御篡改
![【从dex文件看安全漏洞】:专业分析,教你...通过分析dex文件的结构和安全漏洞的种类及成因,本文深入讨论了不同检测技术和实践案例,强调了静态与动态分析技术在漏洞检测中的重要性。同时,文章提出了一系列针对de
Fortify常见漏洞解决方案
天行健,君子以自强不息;地势坤,君子以厚德载物。
09-26 6650
阅读文本大概需要3分钟。Log Forging漏洞:1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。2. 数据写...
Java代码漏洞检测-常见漏洞与修复建议
dzqxwzoe的博客
02-24 3670
银保等金融类企业信息安全处的安全扫描一般分为五项,主机漏洞,主机基线漏洞,代码检测漏洞,渗透测试漏洞,WEB扫描漏洞,以下漏洞为代码检漏洞.代码检测常用工具:奇安信代码卫士存储型XSS是指应用程序通过Web请求获取不可信赖的数据,并且在未检验数据是否存在XSS代码的情况下,将其存入数据库。当程序下一次从数据库中获取该数据时,致使页面再次执行XSS代码。存储型XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库中的数据时,那些包含XSS代码的数据就会在服务器
Hardcoded 加密密钥可能会削弱系统安全性,一旦出现安全问题将无法轻易修正。
g56467467464的博客
07-03 4994
Abstract: Hardcoded 加密密钥可能会削弱系统安全性,一旦出现安全问题将无法轻易修正。 Explanation: 请勿对加密密钥进行硬编码,因为这样所有项目开发人员都能查看该加密密钥,而且还会大大增加解决问题的难度。一旦代码被使用,除非对软件进行修补,否则加密密钥将再也不能更改。如果受加密密钥保护的帐户遭受入侵,系统所有者将被迫在安全性和可用性之间做出选择。 例 1:下列代码使用硬编码加密密钥: private static final String encryptionKey = "l.
JAVA加密--AES加密算法JAVA实现及使用中的各种坑,超实用
热门推荐
penriver的博客
07-02 1万+
1. AES 1.1. 概念 密码学中的高级加密标准(Advanced Encryption Standard,AES),又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。 这个标准用来替代原先的DES(Data Encryption Standard),已经被多方分析且广为全世界所使用,已然成为对称密钥加密中最流行的算法之一。详见 百科 高级加密标准 AES 1.2. JAVA实现AES加解密 import lombok.extern.slf4j.Slf4j; import javax.
java高级:利用Lambda表达式解决代码中硬编码的问题
进击的豌豆的博客
01-13 1938
java高级:利用Lambda表达式解决代码中硬编码的问题
Fortity 安全评测结果及解决方案一文全解
2301_76354366的博客
01-31 5630
Fortity 安全评测结果及解决方案
潜伏在源代码中的“秘密”如何导致重大漏洞
m0_50579386的博客
07-12 613
如果用一个词来概括2021年的信息安全情况,那就是:“供应链攻击”。 当黑客操纵第三方软件组件中的代码以侵害使用这些组件的“下游”应用程序时,就会发生软件供应链攻击。在2021年,我们已经看到了这种攻击的戏剧性增长:像SolarWinds、Kaseya和Codecov数据泄露这样引人注目的安全事件已经在一定程度上动摇了企业对第三方服务提供商安全实践的信心。...
常见Fortify扫描漏洞修复方法
wl8685的专栏
07-29 6868
漏洞描述 处理方式 Privacy Violation: Autocomplete 修复 input 增加autocomplete="off" Privacy Violation 删除 Password Management: Password in Configuration File 修复 将关键字“password”修改为其他单词; Password Management: Insecure Submission 修复 form使
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值