应用软件安全编程--24不要使用硬编码密匙

最新推荐文章于 2024-05-20 17:16:41 发布
最新推荐文章于 2024-05-20 17:16:41 发布
阅读量313 收藏
点赞数 7
分类专栏: 应用软件安全编程 文章标签: 安全 服务器 前端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzh305365294/article/details/134523395
版权

当程序中使用硬编码加密密匙时,所有项目开发人员都可以查看该密匙,甚至如果攻击者能够获取 程序 class文件,可通过反编译得到密匙,硬编码加密密匙会大大降低系统安全性。

对于避免使用硬编码密匙的情况,示例1给出了不规范用法(Java 语言)示例。示例2给出了规范 用法(Java 语言)示例。

示例1:

private static String encryptionKey ="dfashsdsdfsdgagascv";

byte[] keyBytes = encryptionKey.getBytes();

SecretKeySpec key = new SecretKeySpec(keyBytes,"AES");

Cipher encryptCipher = Cipher.getInstance("AES");

encryptCipher.init(Cipher.ENCRYPT  MODE,key);

上述代码使用硬编码加密密钥执行 AES 加密。

程序应采用不小于8个字节的随机生成的字符串作为密匙。

示例2:

KeyGeneratorkeyGen = KeyGenerator.getInstance("AES");

keyGen.init(128,new SecureRandom(password.getBytes()));

SecretKeysecretKey = kgen.generateKey();

byte[] keyBytes = secretKey.getEncoded();

SecretKeySpec key = new SecretKeySpec(keyBytes,"AES");

Cipher encryptCipher = Cipher.getInstance("AES");

encryptCipher.init(Cipher.ENCRYPT  MODE,key);

上述代码使用 KeyGenerator 来生成密匙。

奔跑的老人吴
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
商业编程-源码-MPEG4编码库源代码.zip
06-21
商业编程-源码-MPEG4编码库源代码.zip
商业编程-源码-H.263编码源代码(TMN encoder).zip
06-21
商业编程-源码-H.263编码源代码(TMN encoder).zip
[软件工程]CH06-编码.pptx
07-07
[软件工程]CH06-编码.pptx
商业编程-源码-C语言风格与编码标准.zip
06-21
商业编程-源码-C语言风格与编码标准.zip
商业编程-源码-行程编码,JPEG压缩编码(基本系统)算法.zip
06-23
商业编程-源码-行程编码,JPEG压缩编码(基本系统)算法.zip
Hardcoded 加密密钥可能会削弱系统安全性,一旦出现安全问题将无法轻易修正。
g56467467464的博客
07-03 4374
Abstract: Hardcoded 加密密钥可能会削弱系统安全性,一旦出现安全问题将无法轻易修正。 Explanation: 请勿加密密钥进行硬编码,因为这样所有项目开发人员都能查看该加密密钥,而且还会大大增加解决问题的难度。一旦代码被使用,除非对软件进行修补,否则加密密钥将再也不能更改。如果受加密密钥保护的帐户遭受入侵,系统所有者将被迫在安全性和可用性之间做出选择。 例 1:下列代码使用硬编码加密密钥: private static final String encryptionKey = "l.
开发安全之:Key Management: Hardcoded Encryption Key
irizhao的专栏
01-19 505
请勿加密密钥进行硬编码,因为这样会使所有项目开发人员都能查看该加密密钥,并且还会使解决这一问题变得极其困难。如果受加密密钥保护的帐户遭受入侵,组织将必须在安全性和可用性之间做出选择。应用程序一经发布,除非对程序进行修补,否则将无法更改加密密钥。永远不要加密密钥签入您的源代码控制系统,也不要对它们进行硬编码。始终在外部源中混淆和管理加密密钥。在系统中的任意位置采用明文形式存储加密密钥会使拥有足够权限的任何人都能够读取并可能误用该加密密钥硬编码加密密钥可能会削弱安全性,一旦出现安全问题将无法轻易修正。
软考----软件设计师
m0_68728226的博客
03-07 401
第一章 计算机基础 第一节 计算机系统基础 第二节 操作系统 第三节 计算机网络与信息安全 第四节 程序语言基础 第五节 数据库基础 第二章 数据结构与算法 第一节 数据结构 第二节 算法设计与分析 第三章 系统开发 第一节 软件工程基础知识 第二节 开发方法(结构化与面向对象) 第四章 标准与知识产权 第五章 专业英语 第六章 案例分析
软件设计师笔记----计算机组成与结构
qq_46028216的博客
04-27 805
——————————————————————————— 海明码:构成由m个数据位 (即报文)和r个冗余位(校验位)构成 总长度为n 则 n= m+r 海明码的码距最小为2n+1 海明码距:它是指两个码字中不相同的二进制的个数。 循环冗余效验码(CRC):用于纠错目的的循环码的译码算法比较复杂 **原码:[-127,127] 反码:[-127,127] 补码:[-128,127] 移码:[-128,127] ** ————————————————————————————— CPU:计算机的控制中
RedHat-RHCE-RHEL8
黑猴子的博客
11-22 2709
RHCE8.2 RH124 RH134 RH294 RHCE 7.0 RH124 RH134 RH254 RH124 + RH134 = EX200 RHCE 8.0 RH124 RH134 RH294 RH294 = EX294 Redhat级别 RHCSA、RHCE、RHCA EX200v8 -> RHCSA 上午 考试时长 3小时 EX294 -> RHCE 下午 考试时长 4小时 day01 =============================================
网络安全渗透高级工具(黑客工具软件大全100套)
热门推荐
Coisini的博客
05-25 2万+
黑客工具软件大全100套 1 Nessus:最好的UNIX漏洞扫描工具 Nessus 是最好的免费网络漏洞扫描器,它可以运行于几乎所有的UNIX平台之上。它不止永久升级,还免费提供多达11000种插件(但需要注册并接受EULA-acceptance–终端用户授权协议)。它的主要功能是远程或本地(已授权的)安全检查,客户端/服务器架构,GTK(Linux下的一种图形界面)图形界面,内置脚本语言编译器...
计算机网络之网络安全
Franco的博客
11-09 844
对称加密与非对称加密 所谓对称加密,就是加密密钥与解密密钥是相同的密码体制,这种加密系统又称为对称密钥系统。 对称加密模型如下图所示: 用户A向B发送明文X,但通过加密算法E运算后,就得到密文Y。 Y=EK(X) 图中所示的加密和解密用的密钥K是一串秘密的字符串(或比特串)。在传送过程中可能出现密文的截获和篡改。 B利用解密算法D运算和解密密钥K,解出明文X。解密算法是加密算法
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 136
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 366
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在的漏洞,有效降低网站漏洞的风险,保障网站安全,满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件包含函数,将恶意文件或代码包含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在的漏洞,我们可以针对性的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全编程语言和框架,减少漏洞的产生。
高效且安全的传输工具:FileLink跨网文件传输
m0_69398711的博客
05-14 466
同时,它还提供了权限控制功能,例如:文件打开次数、访问时间、禁止截屏、禁止复制、禁止打印、显示水印,有效防止了数据泄露和非法访问。然而,FileLink利用先进的网络技术和协议优化,成功打破了这一局限。它提供广泛的集成支持,权限组件、审批组件均开放API,可与企业现有IT系统充分集成,深度支撑与贯通企业跨网业务流程,致力于打造更全面的数据安全平台。综上所述,FileLink跨网文件传输以其出色的跨网络性能、安全性、多功能性、易用性以及集成扩展能力,成为了现代办公和日常生活中不可或缺的文件传输工具。
Web应用防火墙的重要性
最新发布
XRY_XIAO的博客
05-20 403
Web应用防火墙的重要性
富格林:梳理可信经验保障安全
fgl100的博客
05-13 243
通过多渠道的收集和分析找到市场的波动趋势,在根据趋势的变化进行交易。如果投资者对趋势变化没有把握的话,可以多留意正规专业的交易平台讯息,一般情况下都会给大家分享市场最新的走势变化,阅读贵金属知识课堂的文章就能够知道很多基本面消息,也能学到各种技术分析方法。富格林悉知,现货黄金被视作一种稳健的投资工具,因其对抗通货膨胀和政治不确定性的能力而备受青睐。如果处于亏损状态的时候,应该保持冷静,理性分析市场波动情况,如果亏损情况严重,应该及时离场保住自己的最大利益,重新调整心态再进场。
信息安全技术 应用软件安全编程指南pdf
07-16
在《应用软件安全编程指南》中,开发人员可以学习到如何正确使用各种安全机制和编程技术,如输入验证、身份验证、授权、加密、错误处理等。指南还介绍了一些常见的开发语言和框架对安全的支持和限制,以帮助开发人员...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

奔跑的老人吴

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值