java fortify硬编码秘钥漏洞使用KeyStore解决

原创 已于 2022-06-29 17:35:20 修改 · 2.0k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

于 2022-06-29 17:32:12 首次发布
本文介绍了解决Java中硬编码加密密钥问题的方法,通过Keystore工具类来生成并存储AES密钥文件,确保秘钥的安全管理。提供了一个KeyStoreUtils类的代码示例,用于秘钥的保存和读取操作。

java_fortify Scan:

问题:
1.Key Management: Hardcoded Encryption Key

问题解释:
问题1.秘钥使用硬编码方式。

解决方案:
使用Keystore生成存储AES密钥文件

使用Keystore生成存储AES密钥文件工具类(JDK1.8):

package com.study.util;

import com.study.common.Consts;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.nio.charset.StandardCharsets;
import java.security.*;
import java.security.cert.CertificateException;

/**
 * keystore生成存储AES密钥文件
 * 
 */
public class KeyStoreUtils {

    /**
     * 功能:把秘钥保存到秘钥库文件中
     * @param key  秘钥
     * @param alias 别名
     * @param pdKey 秘钥密码
     * @param pdKeyStore 秘钥库密码
     * @param ksFileName 秘钥库文件名称
     */
    private static void initKeyStore(Key key,String alias,String pdKey,String pdKeyStore,String ksFileName) throws KeyStoreException, CertificateException, NoSuchAlgorithmException, IOException {
        KeyStore keyStore = KeyStore.getInstance("JCEKS");
        keyStore.load(null, nu
最低0.47元/天 解锁文章
Fortity 安全评测结果及解决方案一文全解
2301_76354366的博客
01-31 5906
Fortity 安全评测结果及解决方案
KeyStoreUtils:关于android keyStore包装库的一种
05-08
KeyStoreUtils 关于android keyStore包装库的一种
【软件测试】Fortify 代码安全扫描
最新发布
Code · Cloud · Think · Repeat
09-27 1133
Fortify 是一套由 Micro Focus(现属 OpenText)公司开发的、业界领先的 静态应用程序安全测试工具集。它的核心任务是帮助开发者在软件开发生命周期的早期 发现、分析和修复源代码中的安全漏洞和质量缺陷。您可以把它想象成一个功能极其强大的 “代码安全扫描仪” 或 “安全专家助手”。
开发安全之:Key Management: Hardcoded Encryption Key
irizhao的专栏
01-19 1313
请勿对加密密钥进行硬编码,因为这样会使所有项目开发人员都能查看该加密密钥,并且还会使解决这一问题变得极其困难。如果受加密密钥保护的帐户遭受入侵,组织将必须在安全性和可用性之间做出选择。应用程序一经发布,除非对程序进行修补,否则将无法更改加密密钥。永远不要将加密密钥签入您的源代码控制系统,也不要对它们进行硬编码。始终在外部源中混淆和管理加密密钥。在系统中的任意位置采用明文形式存储加密密钥会使拥有足够权限的任何人都能够读取并可能误用该加密密钥。硬编码加密密钥可能会削弱安全性,一旦出现安全问题将无法轻易修正。
解决秘钥硬编码安全问题
键盘的起始页
06-30 4121
下面给一个方案,对数据进行变形。算法如下:对每一个字节做一次循环右移对每一个字节用一个表的数据做位异或操作转为16进制数目前没有安全的方法保存秘钥,除非使用硬件来解决(后台的加密机使用的就是硬件,秘钥放在芯片里),所以本地保存数据需要遵循:需要长久更安全的保存,使用keychain的方式保存不要保存敏感信息,如果要保存需要先做脱敏任何时候都不要保存密码。
TP-Link Archer C50路由器曝安全漏洞硬编码DES密钥可解密敏感配置
FreeBuf_的博客
07-30 876
TP-Link Archer C50硬编码密钥漏洞可解密敏感配置,厂商已停止支持。
java硬编码
heymysweetheart的专栏
07-24 2871
1. 注意到了“\n”的硬编码问题,使用 System.getProperty("line.separator") 代替,增加平台扩展性。
APP漏洞自动化扫描专业评测报告(上篇)
red_bricks的博客
08-09 4419
目前在业界有很多自动化检测APP安全性的在线扫描平台。为了了解目前国内移动APP在线漏洞扫描平台的发展情况,我进行了一次移动安全扫描平台的评测分析;主要从漏洞项对比、扫描能力对比以及扫描结果这三个方向来对比。
Java安全编程:企业应用防护策略,攻防兼备
Java作为一种广泛使用的编程语言,其安全性一直受到开发者的重视。理解Java安全编程的基础是构建企业级应用和确保用户数据安全的先决条件。本章将概述Java安全编程的基本概念,从安全架构的组成开始,深入探讨类加载...
【从dex文件看安全漏洞】:专业分析,教你如何在安卓平台上检测和防御篡改
![【从dex文件看安全漏洞】:专业分析,教你...通过分析dex文件的结构和安全漏洞的种类及成因,本文深入讨论了不同检测技术和实践案例,强调了静态与动态分析技术在漏洞检测中的重要性。同时,文章提出了一系列针对de
【Androrat代码审计指南】:发现安全漏洞与修复方法
![【Androrat代码审计指南】:发现安全漏洞与修复方法]...它是一种在合法条件下使用的工具,但也可能被误用为恶意软件。 ## 1.2 安全审计
Atlassian 修复严重的Confluence 硬编码凭据漏洞
smellycat000的专栏
07-21 499
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Atlassian 修复了Confluence Server and Data Center 中一个严重的硬编码凭据漏洞 (CVE-2022-26138),它可导致远程未认证攻击者登录到易受攻击的未修复服务器。该硬编码密码是在安装 Questions for Confluence app(版本2.7.34、2.7.35和...
keystore生成存储AES密钥文件
LOOPY_Y的博客
08-22 1995
keystore存储密钥keystore文件生成cmd命令生成Java代码生成AES密钥存储工具类 参考: https://www.cnblogs.com/f1194361820/p/4266511.html https://blog.youkuaiyun.com/lishizhen1991/article/details/78195305 keystore文件生成 cmd命令生成 找到并进入到jre的bin文件夹 C:\Users\ge-ji>where java C:\Program Files (x
fortify源码检查处理
weixin_37530941的博客
04-29 2100
1、Key Management: Hardcoded Encryption Key 2、Weak Encryption: Insecure Mode of Operation
Fortify常见漏洞解决方案
天行健,君子以自强不息;地势坤,君子以厚德载物。
09-26 6729
阅读文本大概需要3分钟。Log Forging漏洞:1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。2. 数据写...
为什么要禁止密钥硬编码,三招锁死密钥安全!
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-16 2129
身份凭证:如数据库密码、API密钥、云服务AccessKey、SSH私钥加密材料:如RSA私钥、SSL证书、JWT签名密钥核心原则✅永不硬编码:代码/配置文件中禁止出现明文密钥✅动态获取:运行时从安全来源(KMS、Vault)解密✅最小权限:按需分配权限,定期轮换密钥灵魂一问你的项目中有多少密钥还在“裸奔”?立即执行,评论区截图打卡,立Flag整改!自动化密钥检测技术白皮书(共26页).pdf(访问密码: 6277)点击下方关注公众号,带你用“人话”读懂技术硬核!🔥。
keystore生成
yw_2022的博客
03-25 4834
keystore生成
Java代码漏洞检测-常见漏洞与修复建议
dzqxwzoe的博客
02-24 3995
银保等金融类企业信息安全处的安全扫描一般分为五项,主机漏洞,主机基线漏洞,代码检测漏洞,渗透测试漏洞,WEB扫描漏洞,以下漏洞为代码检漏洞.代码检测常用工具:奇安信代码卫士存储型XSS是指应用程序通过Web请求获取不可信赖的数据,并且在未检验数据是否存在XSS代码的情况下,将其存入数据库。当程序下一次从数据库中获取该数据时,致使页面再次执行XSS代码。存储型XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库中的数据时,那些包含XSS代码的数据就会在服务器
linglong扫描系统 JWT密钥硬编码 登录绕过漏洞复现
0xSec
04-27 881
linglong扫描系统 存在默认JWT密钥硬编码漏洞,未经身份验证验证得攻击者可构造JWT密钥绕着身份认证直接登录系统后台,造成信息泄露,使系统处于极不安全的状态。
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值