java fortify弱密码漏洞使用AES的GCM解决

最新推荐文章于 2023-06-26 11:23:57 发布
最新推荐文章于 2023-06-26 11:23:57 发布
阅读量4.1k 收藏
点赞数 1
分类专栏: java fotify 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cleancat/article/details/125525448
版权

java_fortify Scan:

问题:
  1.Weak Encryption
  2.Weak Encryption: Insecure Mode of Operation

问题解释:
  问题1.程序使用了弱加密算法,无法保证敏感数据的保密性。
  问题2.使用某加密方式的某不安全加密模式,例如:AES的ECB模式不安全
  注:本人使用了DES加密导致的问题1,使用了AES的ECB模式导致出现问题2

解决方案:
  使用某安全加密方式的某种安全加密模式,例如:AES的GCM模式

使用AES的GCM模式工具类(JDK1.8):

 

package com.test.common.util;

import javax.crypto.*;
import javax.crypto.spec.GCMParameterSpec;
import javax.crypto.spec.SecretKeySpec;
import java.security.*;
import java.util.Base64;

/**
 * 
 * AES加密工具类(GCM模式)
 */
public class AesUtils {
    private static final String ALGORITHM = "AES";
    private static final String AES_GCM_PADDING = "AES/GCM/NoPadding";

    /**
     * Base64 加密
     *
     * @param plainBytes
     * @return
     */
    public static byte[] encodeByBase64(byte[] plainBytes) {
        if (plainBytes == null) {
            return null;
        }
        return Base64.getEncoder().encode(plainBytes);
    }

    /**
     * Base64 解密
     *
     * @param cipherText
     * @return
     */
    public static byte[] decodeByBase64(byte[] cipherText) {
        if (cipherText == null) {
            return null;
        }
        return Base64.getDecoder().decode(cipherText);
    }

    /**
     * AES加密(GCM工作模式)
     *
     * @param key       密钥,key长度必须大于等于 3*8 = 24,并且是8的倍数
     * @param data      明文
     * @param base64Flg 加密后的数据是否用Base64编码
     * @return 密文
     * @throws Exception
     */
    public static byte[] encodeByGCM(Key key, byte[] data, boolean base64Flg) throws NoSuchPaddingException, NoSuchAlgorithmException, IllegalBlockSizeException, BadPaddingException, InvalidKeyException {
        Cipher cipher = Cipher.getInstance(AES_GCM_PADDING);
        cipher.init(Cipher.ENCRYPT_MODE, key);
        byte[] iv = cipher.getIV();
        assert iv.length == 12;
        byte[] encryptData = cipher.doFinal(data);
        assert encryptData.length == data.length + 16;
        byte[] message = new byte[12 + data.length + 16];
        System.arraycopy(iv, 0, message, 0, 12);
        System.arraycopy(encryptData, 0, message, 12, encryptData.length);
        if (base64Flg) {
            message = encodeByBase64(message);
        }
        return message;
    }

    /**
     * AES解密(GCM工作模式)
     *
     * @param key       密钥,key长度必须大于等于 3*8 = 24,并且是8的倍数
     * @param data      密文
     * @param base64Flg 解密前的数据是否需要使用Base64解码
     * @return 明文
     * @throws Exception
     */
    public static byte[] decodeByGCM(Key key, byte[] data, boolean base64Flg) throws NoSuchPaddingException, NoSuchAlgorithmException, InvalidAlgorithmParameterException, InvalidKeyException, IllegalBlockSizeException, BadPaddingException {
        if (base64Flg) {
            data = decodeByBase64(data);
        }
        if (data.length < 12 + 16)
            throw new IllegalArgumentException();
        GCMParameterSpec params = new GCMParameterSpec(128, data, 0, 12);
        Cipher cipher = Cipher.getInstance(AES_GCM_PADDING);
        cipher.init(Cipher.DECRYPT_MODE, key, params);
        byte[] decryptData = cipher.doFinal(data, 12, data.length - 12);
        return decryptData;

    }

    /**
     * 生成加密秘钥
     *
     * @return
     * @throws NoSuchAlgorithmException
     */
    private static SecretKeySpec getSecretKey(byte[] key) throws NoSuchAlgorithmException {
        KeyGenerator kg = KeyGenerator.getInstance(ALGORITHM);
        // 初始化密钥生成器,AES要求密钥长度为128位、192位、256位
        kg.init(256, new SecureRandom(key));
        SecretKey secretKey = kg.generateKey();
        return new SecretKeySpec(secretKey.getEncoded(), ALGORITHM);// 转换为AES专用密钥
    }

}

注:Base64是一种编码方式,加密后再使用Base64编码是为了防止有乱码

参考:https://blog.csdn.net/catoop/article/details/96431206?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baidujs_baidulandingword~default-4-96431206-blog-121685228.pc_relevant_blogantidownloadv1&spm=1001.2101.3001.4242.3&utm_relevant_index=7

cleancat
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fortify SCA 代码规则库-支持Java
02-27
Fortify SCA 代码规则库-支持Java,静态代码扫描 Fortify在线规则库网址,符合代码安全的编码参考 Fortify SCA Java
Fortify代码扫描 Java提供解决方案支撑
07-09
Fortify问题解决工具类
代码审查工具fortify安全问题解决方法
06-02
整理代码审查工具fortify扫描的高中低危问题解决方法
Weak Encryption 加密安全问题处理
jifgnie的博客
06-26 688
使用密钥较大的强加密算法来保护敏感数据。作为 DES 的备选强加密算法的示例包括 Rijndael(高级加密标。陈旧的加密算法(如 DES)再也不能为敏感数据提供足够的保护了。得能够在合理的时间内获得较小的加密密钥。加密强度通常通过生成有效密钥所需的时间和计算能力来衡量。使用的 56 位密钥造成了巨大的计算障碍,但今天,使用常用设备能在不到一天的时间内破解 DES。generateRandomKey方法生成随机的AES密钥,然后使用该密钥进行加密和解密操作。程序使用加密算法,无法保证敏感数据的保密性。
fortify源代码扫描问题分析汇总
热门推荐
Websec
07-21 1万+
编号 漏洞名称 漏洞危害 修复建议 1 Dynamic Code Evaluation: Unsafe Deserialization 动态代码评估:不安全的反序列化 Actuator正是Spring Boot提供的对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。在使用...
sm1加密算法的几种模式
03-26
文档中讲解的sm1加密算法的几种模式,对几种工作模式的使用,工作流程和原理讲述的清楚
fortify源码检查处理
weixin_37530941的博客
04-29 1653
1、Key Management: Hardcoded Encryption Key 2、Weak Encryption: Insecure Mode of Operation
ATT(三)
sui1005316018的博客
07-14 529
5 Writing Attributes 5.1 Write Request Client使用Write Request请求server写入新的attribute value,server回复Write Response表示写入已经完成 Attribute Value表示将要写入的attribute的新的value值 注意: (1)如果server中相关attribute的value的长度是可变的,那么它会根据参数Attribute Value的长度进行缩短或者延伸,如果参数Attribute
代码审计For小白
qq_28083513的博客
02-22 1689
前言:对于没从事过开发的人来说,代码审计是有不小的挑战的,要快速上手,就需要一些小技巧了。详情请看“审计关键”。 Java常见漏洞Top10: 日志伪造Log Forging:将未经验证的用户输入写入日志文件可致使攻击者伪造日志条目或将恶意信息内容注入日志。 示例代码: public void risk(HttpServletRequest request, HttpServletRespons...
[20][03][17] Weak Encryption: Inadequate RSA Padding
安全新司机
12-27 3213
文章目录1. 问题描述2. 问题场景3. 修复方案 1. 问题描述 公钥RSA加密是在不使用OAEP填充的情况下执行的,因此加密是的 Cipher.getInstance("RSA/NONE/NoPadding") 中 RSA/NONE/NoPadding 参数的含义依次是 “算法/模式/填充模式” 加密算法: AES DES DESede(DES3) RSA 模式 密码块链接(CBC) 电子码本(ECB) 密码反馈(CFB) 计数器(CTR) 填充模式: NoPaddin
AES工具类及漏铜修复
weixin_42324471的博客
09-27 3076
使用Sonar扫描代码是发现AES工具类提示如下漏洞 很明显。漏洞存在于红色方框 Cipher cipher = Cipher.getInstance(“Blowfish/ECB/PKCS5Padding”); 查看漏洞详细信息,可以看到漏洞的现象情况,及正确示例 存在漏洞使用方式 Cipher c0 = Cipher.getInstance("AES"); // Noncompliant: by default ECB mode is chosen Cipher c1 = Cipher.getIn
weak_encryption_lib:一个用于学习加密和密码工作方式的库...请不要在生产或任何项目中使用它,它实际上是一个密码
02-12
weak_encryption_lib:一个用于学习加密和密码工作方式的库...请不要在生产或任何项目中使用它,它实际上是一个密码
weak_encryption_lib_cli:CLI工具可与世界上最密码weak_encryption_lib”一起使用
02-12
weak_encryption_lib_cli:CLI工具可与世界上最密码weak_encryption_lib”一起使用
Fortify解决方案手册(中文版).zip
06-16
Fortify,瑞云等扫描代码所出现的漏洞解决方案。包含了常规的漏洞解决方案,共244页。描述内容均为中文版
安全测试工具fortify使用指南
最新发布
03-11
安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试...
fortify安全基础知识 不同语言软件安全漏洞
05-27
1.软件安全基础知识 2.Java语言软件安全漏洞 3.CC++语言的软件安全漏洞 4.dotNET语言软件安全漏洞
Java安全代码审计介绍及扫描工具Fortify详解
06-12
同时也给大家介绍了一款专门用于Java代码审计的扫描工具Fortify,该工具在我们进行代码审计过程中能极大的帮助我们发现代码漏洞所在点,精准的定位和全面的扫描极大的减轻了我们在海量代码审计的工作。
fortify19.1.0&解决方案手册1.0.zip
08-16
fortify19.1.0&解决方案手册v1.0
Fortify SCA 安装使用手册
06-30
Fortify SCA 安装使用手册
fortify java_fortify使用
05-20
Fortify是一种静态代码分析工具,可以帮助开发人员和安全专业人员发现和修复应用程序中的安全漏洞。以下是使用Fortify进行Java代码扫描的步骤: 1.下载和安装Fortify SCA(Software Security Center)软件。 2.在Fortify SCA中创建一个新的项目并指定要扫描的源代码目录。 3.配置扫描参数,例如是否忽略某些文件或文件夹,指定输出文件等。 4.运行扫描器,等待扫描完成。 5.查看扫描结果,包括发现的漏洞和建议的修复措施。 6.将修复后的代码重新扫描以确保所有漏洞都已解决。 请注意,Fortify使用需要一定的技术知识和经验,因此建议与安全专业人员一起使用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值