静态扫描规则:不安全的加密算法

已于 2023-04-24 11:29:50 修改
阅读量4.7k 收藏
点赞数 1
分类专栏: SAST 文章标签: 安全
于 2022-03-07 18:13:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jimmyleeee/article/details/123336091
版权

今天使用一款SAST扫描不安全的加密算法时,发现一个很明显的代码段,居然没有扫描到,代码段如下:

private static void testdes()  {
		try {
			//Creating a KeyGenerator object
			KeyGenerator keyGen = KeyGenerator.getInstance("des");

			//Creating a SecureRandom object
			SecureRandom secRandom = new SecureRandom();

			//Initializing the KeyGenerator
			keyGen.init(secRandom);

			//Creating/Generating a key
			Key key = keyGen.generateKey();

			System.out.println(key);
			Cipher cipher = Cipher.getInstance("DES/ECB/PKCS5Padding");
			cipher.init(cipher.ENCRYPT_MODE, key);

			String msg = new String("Hi how are you");
			byte[] bytes = cipher.doFinal(msg.getBytes());
			System.out.println(hex(bytes));

		} catch (NoSuchAlgorithmException e){
			e.printStackTrace();
		} catch (BadPaddingException e) {
			e.printStackTrace();
		} catch (IllegalBlockSizeException e) {
			e.printStackTrace();
		} catch (NoSuchPaddingException e) {
			e.printStackTrace();
		} catch (InvalidKeyException e) {
			e.printStackTrace();
		}

	}

代码中使用的DES算法,查了一下Oracle的官方文档:https://docs.oracle.com/javase/8/docs/technotes/guides/security/StandardNames.html#MessageDigest

 发现里面的算法全是大写的。 根据代码,初步判断可能是大小写导致的。

于是,将代码中的小写的des改成大写的DES,再扫描一次,发现扫描出来了。其他的算法,例如:MD5,SHA1,DESede,还有HmacMD5和等,都写代码测试了一下,无论是大写,还是小写,都可以运行,而且结果也都是一样的。测试代码如下:

public static void main(String[] args) {
		testMD5();
		testmd5();
		testSHA1();
		testSHA_1();
		testdes();
		testDES();
		testMacSHA1();
		testMacMD5();
		SpringApplication.run(LargestApplication.class, args);
	}

	private static void testmd5() {
		try {
			MessageDigest md5 = MessageDigest.getInstance("md5");
			String data = "test";
			md5.update(data.getBytes());
			byte result[] = md5.digest();
			System.out.println("md5 result is " + hex(result));
		} catch (NoSuchAlgorithmException e){
			e.printStackTrace();
		}

	}

	private static void testMD5()  {
		try {
			MessageDigest md5 = MessageDigest.getInstance("MD5");
			String data = "test";
			md5.update(data.getBytes());
			byte result[] = md5.digest();
			System.out.println("MD5 result is "+hex(result));
		} catch (NoSuchAlgorithmException e){
			e.printStackTrace();
		}

	}

	private static void testSHA1()  {
		try {
			MessageDigest md5 = MessageDigest.getInstance("sha1");
			String data = "test";
			md5.update(data.getBytes());
			byte result[] = md5.digest();
			System.out.println("sha1 result is "+hex(result));
		} catch (NoSuchAlgorithmException e){
			e.printStackTrace();
		}

	}

	private static void testSHA_1()  {
		try {
			MessageDigest md5 = MessageDigest.getInstance("sha-1");
			String data = "test";
			md5.update(data.getBytes());
			byte result[] = md5.digest();
			System.out.println("sha-1 result is "+hex(result));
		} catch (NoSuchAlgorithmException e){
			e.printStackTrace();
		}

	}

需要关注的一个地方是:SHA1这个加密算法,无论使用SHA1,还是SHA-1,都可以正常运行,在制定扫描策略的时候,就都需要考虑到。否则,就会导致漏网之鱼。

最后要说的一点是,即使有不同的写法,也都能正常运行,还是建议按照官方文档给出的建议来写,不容易造成困惑。

jimmyleeee
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
sec-scanner:用于安全扫描静态代码分析器
06-22
4. **不安全的加密**:识别使用弱加密算法或不正确的加密方法。 5. **权限和认证错误**:查找可能的权限绕过或弱认证机制。 6. **依赖过时库**:警告使用已知存在安全问题的库或版本。 **结论** sec-scanner作为一...
Java使用Cipher.getInstance(“AES/ECB/PKCS5Padding“);加解密算法工具类实现
九七的博客
08-01 8553
Java使用Cipher.getInstance("AES/ECB/PKCS5Padding");加解密算法工具类实现。
Java 使用Cipher类实现加密
马小果v:ma-xiaoguo的博客
02-02 610
~~ 一、先看一个简单加密,解密实现 ~~ 1.1 加密 /** * content: 加密内容 * slatKey: 加密的盐,16位字符串 * vectorKey: 加密的向量,16位字符串 */ public String encrypt(String content, String slatKey, String vectorKey) throws Exception { Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Paddin
Java 加密扩展(JCE)框架 之 Cipher 加密与解密
热门推荐
蚩尤后裔-汪茂雄
05-18 2万+
Cipher 密码概述 1、javax.crypto.Cipher 类提供加密和解密的功能,它构成了Java加密扩展(JCE)框架的核心。 2、Cipher 的 getInstance(String transformation) 方法可以获取实例,参数 transformation 表示转换名称,包括:加密算法/反馈模式/填充方案。加密算法是必选项,反馈模式与填充方案可以不写使用默认值。如: Cipher cipher = Cipher.getInstance("AES"); Cipher c =
Cipher常用方法参数说明
最新发布
Crime_man的博客
03-22 2536
这也是可选的,它指定了如何处理不够一个完整数据块的情况。:这是可选的,它指定算法的工作模式。对称加密算法支持多种模式,如ECB(电子密码本模式)、CBC(密码块链接模式)、CTR(计数器模式)等。如果你不指定模式,将使用算法的默认模式。那么将使用AES的默认工作模式和默认填充方式(如Java实现中的默认可能是AES/ECB/PKCS5Padding)。方法时,提供的算法、模式和填充方式与您的环境匹配,并且您的安全提供者支持它们。对象,它根据传入的字符串参数指定加密或解密的算法、工作模式和填充方式。
Cipher加密
听海的博客
06-19 1190
Cipher加密。
Java DES对称加密工具类
默默不代表沉默
11-17 1783
DESUtil.java import org.apache.tomcat.util.codec.binary.Base64; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.FileOutputStream; import java.io.InputStream; import java.io.OutputStream; import java.security.Key; imp.
代码安全测试fortify规则库2020.01
03-03
6. **脆弱的加密**:规则库包含针对加密算法、密钥管理和证书验证的检查,以确保数据在传输和存储过程中的安全性。 7. **内存管理**:对于C/C++等支持指针的语言,Fortify会关注可能导致内存溢出、悬挂指针和双重...
AppScan安全测试漏洞检测工具10.4版本
12-25
6. **安全性能扫描**:除了传统的漏洞检测,AppScan还关注应用程序的安全性能,例如检查加密算法的强度、认证机制的可靠性等,以提升整体安全性。 7. **云系统集成**:AppScan 10.4支持与云环境的无缝集成,如AWS、...
fortify rules
08-31
例如,它们可能包括SQL注入防护、跨站脚本(XSS)防御、敏感数据暴露、不安全加密算法等常见安全问题的检查。 在Fortify中,用户可以自定义规则集,根据项目需求启用或禁用某些规则,调整阈值,甚至编写自己的...
analise-seca:安全性分析
02-14
3. **密码学与加密**:Python提供如PyCrypto和cryptography等库,支持加密算法,如AES、RSA等,用于保护敏感数据的安全传输和存储。 4. **Web应用安全**:Flask、Django等Python web框架提供了安全机制,如CSRF(跨...
Go-检查源代码安全问题通过扫描GoAST。
08-14
它通过解析Go源代码并构建AST,然后应用一系列规则来检测不安全的编程模式。例如,它可以识别出硬编码的密码、不安全加密算法使用、未验证的输入数据等。 在实际应用中,使用gosec进行安全扫描的步骤通常包括以下...
secinfo:用Python制作的信息安全程序
04-18
同时,`pycryptodome`库提供了更多加密算法和模式,如Blowfish、Twofish以及一些低级操作。 4. **日志记录与审计**:在信息安全程序中,记录和分析日志数据至关重要。Python的`logging`模块可实现自定义的日志记录...
网络安全简答题1.docx
11-08
14. Web常用加密算法:包括AES、RSA、SHA、MD5等,用于数据加密传输和哈希验证。 15. 生成数字证书的五个关键步骤:证书申请、CA验证、证书签发、证书分发、安装及信任设置。 16. 网络劫持:运营商或其他实体可能...
2020年fortify SCA最新rules.zip
07-08
2020年发布的"fortify SCA最新rules.zip"包含了这一年中对于源代码审计的最新规则集,这些规则旨在帮助开发团队更好地进行代码静态扫描,提升软件的安全性和可靠性。 Fortify SCA的工作原理主要基于静态分析技术,...
【Java编码准则】の #12不要使用不安全或者强度弱的加密算法
ASCE1885
06-21 1万+
安全性要求高的应用程序必须避免使用不安全的或者强度弱的加密算法,现代计算机的计算能力使得攻击者通过暴力破解可以攻破强度弱的算法。例如,数据加密标准算法DES是极度不安全的,使用类似EFF(Electronic Frontier Foundaton) Deep Crack的计算机在一天内可以暴力破解由DES加密的消息。 [不符合安全要求的代码示例]      下面的代码使用强度弱的DES
Java使用Cipher类实现加密,包括DESDES3,AES和RSA加密
NiudiezzZ的博客
12-14 1677
Java使用Cipher类实现加密,包括DESDES3,AES和RSA加密
数据加密工具Cipher.getInstance方法
weixin_53707040的博客
08-31 2618
由于将PKCS5Padding写成了PKCSSPadding,疏忽大意导致报错!在企业办公中遇到AES/ECB/PKCS5Padding报错。
彻底告别加解密模块代码拷贝-JCE核心Cpiher详解
weixin_30257433的博客
08-15 546
前提 javax.crypto.Cipher,翻译为密码,其实叫做密码器更加合适。Cipher是JCA(Java Cryptographic Extension,Java加密扩展)的核心,提供基于多种加解密算法的加解密功能。在不了解Cipher之前,我们在完成一些需要加解密的模块的时候总是需要到处拷贝代码,甚至有些错误的用法也被无数次拷贝,踩坑之后又要拷贝补坑的代码。为什么不尝试理解Ci...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值