Java因项目配置不当而引发的数据泄露

网友投稿 266 2022-09-30


Java因项目配置不当而引发的数据泄露

目录数据泄露缘由数据库密码加密配置数据库连接池生成RSA密钥对密码进行加密编写解析数据库密码的类写在最后

大家好,我是冰河~~

最近,有位读者私信我说,他们公司的项目中配置的数据库密码没有加密,编译打包后的项目被人反编译了,从项目中成功获取到数据库的账号和密码,进一步登录数据库获取了相关的数据,并对数据库进行了破坏。虽然这次事故影响的范围不大,但是这足以说明很多公司对于项目的安全性问题重视程度不够。

如果文章对你有点帮助,小伙伴们点赞,收藏,评论,分享,走起呀~~

数据泄露缘由

由于java项目的特殊性,打包后的项目如果没有做代码混淆,配置文件中的重要配置信息没有做加密处理的话,一旦打包的程序被反编译后,很容易获得这些敏感信息,进一步对项目或者系统造成一定的损害。所以,无论是公司层面还是开发者个人,都需要对项目的安全性有所重视。

今天,我们就一起来聊聊如何在项目中加密数据库密码,尽量保证数据库密码的安全性。本文中,我使用的数据库连接池是阿里开源的Druid。

数据库密码加密

配置数据库连接池

这里,我就简单的使用xml配置进行演示,当然小伙伴们也可以使用Spring注解方式,或者使用SpringBoot进行配置。

destroy-method="close" init-method="init" lazy-init="true">

destroy-method="close" init-method="init" lazy-init="true">

其中要注意的是:我在配置文件中进行了如下配置。

生成RSA密钥

使用RSA公钥和私钥,生成一对公钥和私钥的工具类如下所示。

package com.binghe.crypto.rsa;

import java.security.Key;

import java.security.KeyPair;

import java.security.KeyPairGenerator;

import java.security.interfaces.RSAPrivateKey;

import java.security.interfaces.RSAPublicKey;

import java.util.HashMap;

import java.util.Map;

import sun.misc.BASE64Decoder;

import sun.misc.BASE64Encoder;

/**

* 算法工具类

* @author binghe

*/

public class RSAKeysUtil {

public static final String KEY_ALGORITHM = "RSA";

public static final String SIGNATURE_ALGORITHM = "MD5withRSA";

private static final String PUBLIC_KEY = "RSAPublicKey";

private static final String PRIVATE_KEY = "RSAPrivateKey";

public static void main(String[] args) {

Map keyMap;

try {

keyMap = initKey();

String publicKey = getPublicKey(keyMap);

System.out.println(publicKey);

String privateKey = getPrivateKey(keyMap);

System.out.println(privateKey);

} catch (Exception e) {

e.printStackTrace();

}

}

public static String getPublicKey(Map keyMap) throws Exception {

Key key = (Key) keyMap.get(PUBLIC_KEY);

byte[] publicKey = key.getEncoded();

return encryptBASE64(key.getEncoded());

}

public static String getPrivateKey(Map keyMap) throws Exception {

Key key = (Key) keyMap.get(PRIVATE_KEY);

byte[] privateKey = key.getEncoded();

return encryptBASE64(key.getEncoded());

}

public static byte[] decryptBASE64(String key) throws Exception {

return (new BASE64Decoder()).decodeBuffer(key);

}

public static String encryptBASE64(byte[] key) throws Exception {

return (new BASE64Encoder()).encodeBuffer(key);

}

public static Map initKey() throws Exception {

KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance(KEY_ALGORITHM);

keyPairGen.initialize(1024);

KeyPair keyPair = keyPairGen.generateKeyPair();

RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();

RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();

Map keyMap = new HashMap(2);

keyMap.put(PUBLIC_KEY, publicKey);

keyMap.put(PRIVATE_KEY, privateKey);

return keyMap;

}

}

运行这个类,输出的结果如下:

在输出的结果信息中,上边是公钥下边是私钥。

对密码进行加密

使用私钥对明文密码进行加密,示例代码如下所示。

package com.binghe.dbsource.demo;

import com.alibaba.druid.filter.config.ConfigTools;

/**

* 使用密钥加密数据库密码的代码示例

* @author binghe

*/

public class ConfigToolsDemo {

/**

* 私钥对数据进行加密

*/

private static final String PRIVATE_KEY_STRING = "MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAKtq3IJP5idDXZjML6I8HTAl0htWZSOO43LhZ/+stsIG50WsuW0UJ2vdrEtjvTEfJxP6N1VNrbsF9Lrsp6A4AyUwx00ZUueTlbUaX60134Di0IdQ3C4RTt5mPIbF3hUKers8csltgYR4fByvR3Eq4lt+jAolVHKmyzufukH3d3vJAgMBAAhttp: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";

public static void main(String[] args) throws Exception {

//密码明文,也就是数据库的密码

String plainText = "root";

System.out.printf(ConfigTools.encrypt(PRIVATE_KEY_STRING, plainText));

}

}

运行上述代码示例,结果如下所示。

然后将数据库配置的链接密码改为这个输出结果如下:

jdbc.username=root

jdbc.password=EA9kJ8NMV8zcb5AeLKzAsL/8F1ructRjrqs69zM70BwDyeMtxuEDEVe9CBeRgZ+qEUAshhWGEDk9ay3TLLKrf2AOE3VBn+w8+EfUIEXFy8u3jYViHeV8yc8Z7rghdFShhd/IJbjqbsro1YtB9pHrl4EpbCqp7RM2rZR/wJ0WN48=

编写解析数据库密码的类

package com.binghe.dbsource;

import java.util.Properties;

import com.alibaba.druid.filter.config.ConfigTools;

import com.alibaba.druid.util.DruidPasswordCallback;

/**

* 数据库密码回调

* @author binghe

*/

public class DBPasswordCallback extends DruidPasswordCallback {

private static final long serialVersionUID = -4601105662788634420L;

/**

* password的属性

*/

private static final String DB_PWD = "password";

/**

* 数据对应的公钥

*/

public static final String PUBLIC_KEY_STRING = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCratyCT+YnQ12YzC+iPB0wJdIbVmUjjuNy4Wf/rLbCBudFrLltFCdr3axLY70xHycT+jdVTa27BfS67KegOAMlMMdNGVLnk5W1Gl+tNd+A4tCHUNwuEU7eZjyGxd4VCnq7PHLJbYGEeHwcr0dxKuJbfowKJVRypss7n7pB93d7yQIDAQAB";

@Override

public void setProperties(Properties properties) {

super.setProperties(properties);

String pwd = properties.getProperty(DB_PWD);

if (pwd != null && !"".equals(pwd.trim())) {

try {

//这里的password是将jdbc.properties配置得到的密码进行解密之后的值

//所以这里的代码是将密码进行解密

//TODO 将pwd进行解密;

String password = ConfigTools.decrypt(PUBLIC_KEY_STRING, pwd);

setPassword(password.toCharArray());

} catch (Exception e) {

setPassword(pwd.toCharArray());

}

}

}

}

这里DBPasswordCallback类,就是在配置文件中配置的DBPasswordCallback类,如下所示。

其中PasswordCallback是javax.security.auth.callback包下面的,底层安全服务实例化一个 PasswordCallback 并将其传递给 CallbackHandler 的 handle 方法,以获取密码信息。

当然,除了使用上述的方式,自己也可以对应一套加解密方法,只需要将 DBPasswordCallback的 String password = ConfigTools.decrypt(PUBLIC_KEY_STRING, pwd); 替换即可。

另外,在编写解析数据库密码的类时,除了可以继承阿里巴巴开源的Druid框架中的DruidPasswordCallback类外,还可以直接继承自Spring提供的PropertyPlaceholderConfigurer类,如下所示。

public class DecryptPropertyPlaceholderConfigurer extends PropertyPlaceholderConfigurer{

/**

* 重写父类方法,解密指定属性名对应的属性值

*/

@Override

protected String convertProperty(String propertyName,String propertyValue){

if(isEncryptPropertyVal(propertyName)){

return DesUtils.getDecryptString(propertyValue);//调用解密方法

}else{

return propertyValue;

}

}

/**

* 判断属性值是否需要解密,这里我约定需要解密的属性名用encrypt开头

*/

private boolean isEncryptPropertyVal(String propertyName){

if(propertyName.startsWith("encrypt")){

return true;

}else{

return false;

}

}

}

此时,就需要将xml文件中的如下配置

修改为下面的配置。

到此,在项目中对数据库密码进行加密和解析的整个过程就完成了。

写在最后

如果你想进大厂,想升职加薪,或者对自己现有的工作比较迷茫,都可以私信我交流,希望我的一些经历能够帮助到大家~~


版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:渗透测试服务内容与漏洞检测过程(渗透测试和漏洞挖掘)
下一篇:php网站后门漏洞检测 渗透测试木马解决(高级PHP应用程序漏洞审核技术)
相关文章

 发表评论

暂时没有评论,来抢沙发吧~