注:框架是Struts2+Spring+ibatis
漏洞代码
jdbc.url=jdbc:db2://172.17.33.118:50000/qjxt
jdbc.driverClassName=com.ibm.db2.jcc.DB2Driver
jdbc.username=db2admin
jdbc.password=db2admin
漏洞说明
在配置文件中存储明文密码。
解决方案
密码模糊化,并把模糊化资源分散到系统各处。
采用加密算法AES级别以上。
自定义密码机制。
将jdbc.password的值使用AES算法加密
public class SecurityUtil {
/**
* 加密算法名称AES
*/
private static final String ENCRYPTION_ALGORITHM_NAME = "AES";