Password Management:Password in Configuration File(密码在配置文件中)解决方案

最新推荐文章于 2024-06-07 10:26:03 发布
最新推荐文章于 2024-06-07 10:26:03 发布
阅读量1.2w 收藏 6
点赞数 2
文章标签: spring 解决方案 密码 ibatis jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangzhouren_hf/article/details/72828427
版权

注:框架是Struts2+Spring+ibatis

漏洞代码

jdbc.url=jdbc:db2://172.17.33.118:50000/qjxt

jdbc.driverClassName=com.ibm.db2.jcc.DB2Driver

jdbc.username=db2admin

jdbc.password=db2admin


漏洞说明

在配置文件中存储明文密码。

解决方案

密码模糊化,并把模糊化资源分散到系统各处。

采用加密算法AES级别以上。

自定义密码机制。

jdbc.password的值使用AES算法加密

public class SecurityUtil {

/**

 * 加密算法名称AES

 */

private static final String ENCRYPTION_ALGORITHM_NAME = "AES";

 

最低0.47元/天 解锁文章
yangzhouren_hf
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
部分Fortify代码扫描高风险解决方案
修行的博客
12-13 1万+
部分Fortify代码扫描高风险解决方案 一、Category: Access Control: Database 问题描述: ​ Database access control 错误在以下情况下发生: ​ 1.数据从一个不可信赖的数据源进入程序。 ​ 2.这个数据用来指定 SQL 查询主键的值。 官方案例: 示例 1: 以下代码使用可转义元字符并防止出现 SQL 注入漏洞的参数化语句,以...
Password Management:Password in Configuration File 密码管理:配置文件密码
Dearzh的博客
11-15 526
Abstract: 在配置文件存储明文密码,可能会危及系统安全。 Explanation: 在配置文件存储明文密码会使所有能够访问该文件的人都能访问那些用密码保护的资源。程序员有时候认为,他们不可能阻止应用程序被那些能够访问配置文件的攻击者入侵,但是这种想法会导致攻击者发动攻击变得更加容易。健全的 password management 方针从来不会允许以明文形式存储密码。 在这种情况下,...
ASP.NET~~[ Web.config文件加密]~Fortify扫描 Password Management: Password in Configuration File
qq_35011890的博客
04-21 3750
ASP.NET Web.config文件加密 在进行Fortify扫描过程,出现了高危漏洞(Password Management: Password in Configuration File),即需要对config文件的明文密码进行加密. 最开始我才用DES加密,在每一次从config文件获取配置信息之前进行解密,但是由于不知道这个系统在多少个地方获取了配置文件,以及具体位置所以只能...
Insecure Binder Configuration漏洞解决
最新发布
weixin_41912225的博客
06-07 374
最近公司要求上传的代码进行扫描,一扫描吓一跳。原本在controllerpost传对象的接口都被扫描出Insecure Binder Configuration漏洞。漏洞原因是Fortify不建议在post请求传递实体。相信大部分同学post接口都是这样写的。
Fortify Audit Workbench 笔记 Password Management: Password in Configuration File(明文存储密码)...
马洪彪的流水账
03-15 187
Password Management: Password in Configuration File(明文存储密码) Abstract 在配置文件存储明文密码,可能会危及系统安全。 Explanation 在配置文件存储明文密码会使所有能够访问该文件的人都能访问那些用密码保护的资源。 程序员有时候认为, 他们不可能阻止应用程序被那些能够访问配置文件的攻击者入侵,但是这种想法会导致攻击者发动...
springboot项目使用jasypt配置文件明文加密
qq_42552574的博客
12-22 1056
jasypt配置文件明文加密 最近有个springboot项目上线前进行安全检测,使用fortify扫描出配置文件的明文存储安全漏洞(Password Management: Password in Configuration File) 于是在各个博客看到使用jasypt进行加密,自己实现后发现还是挺方便简单的,自己做个总结并当作笔记记录下来。 实现配置存储的明文加密只需要以下几步: 一、项目引入依赖(Maven) <dependency>   <groupId>com.g
常见Fortify扫描漏洞修复方法
wl8685的专栏
07-29 5766
漏洞描述 处理方式 Privacy Violation: Autocomplete 修复 input 增加autocomplete="off" Privacy Violation 删除 Password Management: Password in Configuration File 修复 将关键字“password”修改为其他单词; Password Management: Insecure Submission 修复 form使
在MyEclipse配置webLogic服务器
09-12
在MyEclipse配置WebLogic服务器是开发Java EE应用时的重要步骤,这允许你在集成开发环境直接部署和管理WebLogic服务器上的应用程序。以下是一份详细的配置指南: 1. **启动配置过程** 首先,打开MyEclipse,...
weblogic+myeclipse配置!
10-20
在WebLogic 8的JDK配置,选择或添加WebLogic支持的JRE版本,例如:D:BEAjdk141_02,并在"Optional Java VM arguments"添加启动参数,如:-ms64m -mx64m -Djava.library.path="D:/BEA/weblogic81/server/bin" -...
java jmx agent不安全的配置漏洞如何改进(由浅入深代码范例和详细说明).docx
06-16
在 Java 开发,我们可以使用以下代码配置 JMX Agent: ```java import java.lang.management.ManagementFactory; import javax.management.remote.*; import java.io.IOException; public class JmxAgent { ...
港湾交换机配置例 很详细的
06-13
download Download file for H.Link configuration information erase Erase H.Link Configuration on Flash exit Exit current mode help Description of the interactive help system list Print command ...
解决oracle安装完成后DBCA无法执行问题
06-19
在Oracle数据库的安装过程,有时会遇到DBCA(Database Configuration Assistant)无法正常执行的问题,这通常是由于系统环境或安装过程的某些配置不正确导致的。本文将针对标题和描述提到的问题,即在CentOS...
Fortify 5.1漏洞整改方案(1)
chongweimei5390的博客
06-19 1898
很多企业对代码的安全性有着很高的要求,目前使用的较为多的扫描代码安全漏洞的工具为Fortify 5.1。以下为一些漏洞的解决方案,欢迎指正。 1.Password Management: Empty Password 1)简介:为密码变量指定空字符串绝非一个好方法。如果使用 emp...
Springboot 配置文件用户名密码加密
weixin_43386594的博客
03-13 3368
配置文件内容 详细操作步骤 1、在pom.xml文件加依赖 <!--明文加密--> <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot</artifactId> <version>2.0.0</version> </dependency> 2、重新加载po
HTML5表单password输入框的文字显示与隐藏实现
热门推荐
Mr_厚厚的博客
03-11 10万+
HTML5表单对于密码输入框password类型可以隐藏用户输入的内容,但有时候会用到允许用户自由显示或者隐藏输入框内容: 要实现这个功能首先想到的是用js动态改变input的type类型,觉得将type = password变成type = text隐藏的密码就会显示,但是实际上却实现不了,没有效果,所以,只能换一个思路:放两个input,一个是password,一个是text,共同监
开发安全之:Password Management: Password in HTML Form
irizhao的专栏
01-20 490
对 HTML 表单密码字段进行填充会让任何人都能在 HTML 源看到它们的值。此外,存储在密码字段的敏感信息可能会被代理或浏览器缓存。在 HTML 表单,请不要设置敏感输入的 value 属性。<input type="password" />对 HTML 表单密码字段进行填充可能会危及系统安全。请不要填充密码类型的表单字段。
Fortify分析翻译8
flashtree的专栏
09-02 2417
  22.Process Control(Data Flow): 22.1.源文件:AgentServlet.java. 代码:obj = this.getClass().getClassLoader().loadClass(servletName).newInstance(); 22.2.原文:Loading libraries from an untrusted source or in
Fortity 安全评测结果及解决方案一文全解
2301_76354366的博客
01-31 4333
Fortity 安全评测结果及解决方案
/etc/pam.d/common-password不存在
05-20
如果你的Linux系统上没有/common-password文件,则你可以在/etc/pam.d/目录创建一个新文件,命名为common-password。你可以使用以下命令创建该文件: ``` sudo nano /etc/pam.d/common-password ``` 然后将以下内容复制并粘贴到文件: ``` # /etc/pam.d/common-password - Configuration file for password management # # This file is included from other service-specific PAM config files, # and should contain a list of modules that define the services to be # used to change user passwords. The default is pam_unix. password requisite pam_pwquality.so retry=3 password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password required pam_deny.so ``` 保存并退出文件,然后您就可以使用common-password文件来配置密码管理了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值