springboot加密密码等敏感信息

最新推荐文章于 2023-11-26 14:50:59 发布
最新推荐文章于 2023-11-26 14:50:59 发布
阅读量303 收藏
点赞数 1
分类专栏: java 文章标签: springboot 配置文件加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44928809/article/details/100010476
版权

springboot配置文件敏感信息加密


最近项目在渗透测试和代码检查,配置文件中的敏感信息竟然要加密,由于CAS中很多配置都是默认配置自动加载,不容易写代码来加载属性,后来在github上找到一个对springboot配置文件进行加密解密的工具–jasypt

首先写在pom文件中引入jasypt的依赖

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>2.0.0</version>
</dependency>

然后在application中配置加密的密钥:

# 配置加密的密钥
jasypt.encryptor.password=kkk

# 在测试类中写入写一个加密的测试方法
```java
public class EncryptPasswdApplicationTests {

    @Autowired
    StringEncryptor stringEncryptor;
    
    @Test
    public void encryptPwd() {
        String password="manager05";//要加密的密码
        String result = stringEncryptor.encrypt(password);
        //打印结果
        System.out.println(result);
    }
}

打印加密之后的密码:
在这里插入图片描述

对敏感信息进行加密

这里使用的是ldap来测试,如果加密后的密码可以连接上ldap则配置文件加密成功,将打印出来的密文密码粘贴到配置文件中的相应位置:

spring.ldap.urls=ldap://172.16.**.**:13601
spring.ldap.base=ou=User,dc=**,dc=com
spring.ldap.username=***
#spring.ldap.password=manager05
spring.ldap.password=ENC(/jZwF1GsriJL60XofakOia+jP0RLtq5O)

运行测试方法getSize()获取ldap中所有的用户数量,如果可以获取到数量则说明ldap连接成功。
在这里插入图片描述
在这里插入图片描述
运行之后可以发现已经获取到ldap的用户数量,则说明springboot中application.xml中敏感信息已经加密且在加载时解密。而且encrypt()加密

weixin_44928809
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透测试漏洞复现:Springboot Actuator未授权漏洞复现
HACKONE的博客
03-28 525
pring Boot Actuator 是 Spring Boot 框架中非常重要的一个模块,设计用于增强应用程序在生产环境中的可观察性和管理能力。Actuator 提供了一系列内建的端点(Endpoints),这些端点可通过 HTTP 或 JMX 接口暴露应用的健康状况、度量指标、审计信息、环境属性、 Beans 列表等多种内部状态信息
SpringBoot 配置文件敏感信息加密
jeikerxiao
07-19 5567
说明 使用过SpringBoot配置文件的朋友都知道,资源文件中的内容通常情况下是明文显示,安全性就比较低一些。 打开application.properties或application.yml,比如 MySql登陆密码,Redis登陆密码以及第三方的密钥等等一览无余,这里介绍一个加解密组件,提高一些属性配置的安全性。 jasypt由一个国外大神写了一个springboot下的工具包,用来加密配置...
app渗透实战案例—Spring Boot Actuator未授权到脱库
good good study
12-09 7240
目录 前言 测试过程 查找敏感信息 Heapdump获取密码信息 前言 今天在做app渗透测试的时候,发现网站使用了Spring Boot框架。其存在一个未授权访问漏洞,通过寻找敏感字段获取了数据库地址和用户名,以及寻找密码获取了数据库连接密码直接拿下了数据库 测试过程 对app抓包,请求了一些服务器地址,我们将地址复制出来在浏览器访问 其中一个地址访问出现如下所示的页面,那么可以判断其使用了Spring Boot框架,Spring Boot框架是最流行的基于Java的微服务框架之一,
记一次SpringBoot信息泄漏
weixin_51721627的博客
06-12 4203
质量欠佳,大佬轻喷
Spring Boot框架敏感信息泄露的完整介绍与SRC实战(附专属字典与PoC)
qq_50854662的博客
10-04 6755
转载于:https://www.freebuf.com/vuls/289710.html #前言##Spring Boot框架介绍Spring框架功能很强大,但是就算是一个很简单的项目,我们也要配置很多东西。因此就有了Spring Boot框架,它的作用很简单,就是帮我们自动配置,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。Spring Boot框架的核心就是自动配置,只要存在相应的jar包,Spring就帮我们自动配置。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的
渗透测试【一】:渗透测试常见问题
最新发布
Guardian
11-26 1132
渗透问题汇总
Spring boot带来的信息泄露
热门推荐
就是我的博客
05-05 1万+
一、什么是Actuator Spring Boot Actuators 模块端点信息官方文档: Spring Boot Actuator Web API Documentation Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的..
springboot之yml配置文件信息加密.docx
03-01
在项目中引入 Jasypt 的 jar 包 org.jasypt:iasypt:1.9.2,使用 StringEncryptor 接口中的 encrypt 方法对敏感信息进行加密加密时设置好密钥(password),然后调用 encrypt 方法通过 PBEWithMD5AndDES 算法来...
SpringBoot Shiro配置自定义密码加密器代码实例
08-19
4. 加密(Cryptography):提供了多种加密算法,保护用户的密码敏感信息。 5. Web 支持(Web Support):提供了与 Web 应用程序集成的支持。 6. 缓存(Caching):提供了缓存机制,提高应用程序的性能。 7. 多线程...
数据库密码配置加密操作步骤.doc
07-15
数据库密码配置加密操作步骤 Spring Boot 中数据库账号密码加密操作是指在 Spring Boot ...数据库密码配置加密操作是保护数据库账号密码的重要手段,通过使用 Jasypt 或 Druid 等加密库,可以有效地保护敏感信息
Springboot配置文件内容加密代码实例
08-25
Springboot配置文件内容加密代码实例是指在Springboot项目中对配置文件敏感信息进行加密,以保护项目的安全。以下是对该实例的详细介绍。 一、加密工具类的创建 在使用jasypt-spring-boot-starter进行加密之前,...
springboot下配置SSL证书HTTPS访问
07-17
SpringBoot 配置 SSL 证书实现 HTTPS 访问 SpringBoot 作为一个流行的 Java 框架, 提供了许多便捷的配置方式来实现 HTTPS 访问...HTTPS 协议可以确保数据在网络传输过程中的安全性,从而保护用户的隐私和敏感信息
SpringBoot渗透总结
weixin_72753070的博客
07-25 1249
今天的文章主要跟大家聊一下关于springboot环境下的渗透。Springboot现如今可以说是java开发的一个入门框架,深受各个公司亲赖,现有java站点springboot还是有一定比例的,所以说还是有必要对springboot渗透有一定了解。...
Springboot项目使用jasypt加密配置文件中的敏感信息
lzhfdxhxm的博客
09-15 4069
项目背景 Spring Boot 2.0.8 在项目中,经常需要在配置文件里配置一些敏感信息,比如数据库用户名和密码,redis、mq的连接信息等。如果直接写明文,很容易造成密码泄露等安全问题。 jasypt简介 Jasypt 是一个 Java 库,它允许开发者以最小的努力为他/她的项目添加基本的加密功能,而且不需要对密码学的工作原理有深刻的了解。 jasypt 和spring boot的版本对应关系
SpringBoot 实现数据加密脱敏(注解 + 反射 + AOP)
m0_71777195的博客
08-03 1338
场景:响应政府要求,商业软件应保证用户基本信息不被泄露,不能直接展示用户手机号,身份证,地址等敏感信息。根据上面场景描述,我们可以分析出两个点。
「 jasypt-spring-boot」敏感信息加密/解密利器
大白吃饱了吗的技术博客
04-16 1987
文章目录1. 简介2. 如何整合3. 自定义环境4. 工作原理5. 加密的属性如何处理6. 基于密码加密配置7. 使用自定义的加密程序8. 自定义`Property Detector`, `Prefix`, `Suffix` 和 `Resolver`8.1 自定义`EncryptablePropertyDetector`8.2 自定义加密属性前缀和后缀8.3 自定义`EncryptablePropertyResolver`9. 使用过滤器9.1 `DefaultPropertyFilter`类的属性9.2
如何保护您的SpringBoot项目:防止源代码泄露,确保更安全的部署
陈书予
03-11 3131
SSL (Secure Sockets Layer)是一种加密协议,用于在互联网上安全传输数据。它被广泛用于Web浏览器和Web服务器之间的安全通信,以保护数据传输的机密性和完整性。SSL协议使用非对称加密和对称加密相结合的方式来保护数据的安全传输。在连接建立时,客户端和服务器之间进行握手协商,然后建立安全的连接。在此之后,所有的数据传输都是加密的,只有客户端和服务器之间才能解密和读取数据,从而保证了数据传输的机密性。
spring boot|一次曲折的渗透测试之旅
mingyqf的博客
03-07 694
原文链接:https://mp.weixin.qq.com/s/HmGEYRcf1hSVw9Uu9XHGsA。
Springboot渗透x
qq_60115503的博客
01-06 977
Spring Cloud是基于Spring Boot来进行构建服务,并提供配置管理,服务注册与发现,智能路由等常见功能的帮助快速开发分布式的系列框架的有序集合。会直接泄露环境变量、内网地址、配置中的用户名等信息;Spring Boot Actuator 1.x版本默认内置路由的起始路由的起始路径位/,2.x版本则统一以/actuator为起始路径。对于攻击者来讲,一般会仔细审计暴露出的接口以增加对业务系统的了解,并会同时检查应用系统是否存在未授权访问,越权等其他业务类型漏洞。
springboot jasypt3 加密数据库密码
10-21
Spring Boot是一个开源的Java框架,可帮助开发者更快速地构建应用程序。Jasypt3是Spring Boot中一种常用的加密库,可用于加密敏感数据,如数据库密码。下面简要介绍如何使用Spring Boot和Jasypt3来加密数据库密码: 1. 添加依赖:在pom.xml中添加Jasypt3的依赖,如下所示: ```xml <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>3.0.3</version> </dependency> ``` 2. 配置加密算法和密钥: 在Spring Boot的配置文件(application.properties或application.yml)中添加以下配置: ```properties jasypt.encryptor.algorithm=算法 jasypt.encryptor.password=密钥 ``` 3. 加密数据库密码: 在配置文件中使用Jasypt3提供的加密语法将数据库密码进行加密。例如,假设我们要加密密码是"password",可以使用以下语法: ```properties encryptor.encrypt(密码) ``` 4. 使用加密密码: 在项目中的数据源配置文件(如application.properties)中,使用加密后的密码。例如: ```properties spring.datasource.username=用户名 spring.datasource.password=ENC(加密密码) ``` 5. 运行应用程序: 启动Spring Boot应用程序,它将自动使用配置的密钥解密密码,然后使用解密后的密码连接数据库。 通过以上步骤,我们可以使用Spring Boot和Jasypt3来实现数据库密码加密。这样可以保护敏感数据的安全性,同时提供了一种方便的方法来管理加密密钥和加密算法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值