[Java知识库] 静态扫描规则：不安全的加密算法

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> Java知识库 -> 静态扫描规则：不安全的加密算法 -> 正文阅读

[Java知识库]静态扫描规则：不安全的加密算法

今天使用一款SAST扫描不安全的加密算法时，发现一个很明显的代码段，居然没有扫描到，代码段如下：

private static void testdes()  {
		try {
			//Creating a KeyGenerator object
			KeyGenerator keyGen = KeyGenerator.getInstance("des");

			//Creating a SecureRandom object
			SecureRandom secRandom = new SecureRandom();

			//Initializing the KeyGenerator
			keyGen.init(secRandom);

			//Creating/Generating a key
			Key key = keyGen.generateKey();

			System.out.println(key);
			Cipher cipher = Cipher.getInstance("DES/ECB/PKCS5Padding");
			cipher.init(cipher.ENCRYPT_MODE, key);

			String msg = new String("Hi how are you");
			byte[] bytes = cipher.doFinal(msg.getBytes());
			System.out.println(hex(bytes));

		} catch (NoSuchAlgorithmException e){
			e.printStackTrace();
		} catch (BadPaddingException e) {
			e.printStackTrace();
		} catch (IllegalBlockSizeException e) {
			e.printStackTrace();
		} catch (NoSuchPaddingException e) {
			e.printStackTrace();
		} catch (InvalidKeyException e) {
			e.printStackTrace();
		}

	}

代码中使用的DES算法，查了一下Oracle的官方文档：https://docs.oracle.com/javase/8/docs/technotes/guides/security/StandardNames.html#MessageDigest

?发现里面的算法全是大写的。根据代码，初步判断可能是大小写导致的。

于是，将代码中的小写的des改成大写的DES，再扫描一次，发现扫描出来了。其他的算法，例如：MD5，SHA1，DESede，还有HmacMD5和等，都写代码测试了一下，无论是大写，还是小写，都可以运行，而且结果也都是一样的。测试代码如下：

public static void main(String[] args) {
		testMD5();
		testmd5();
		testSHA1();
		testSHA_1();
		testdes();
		testDES();
		testMacSHA1();
		testMacMD5();
		SpringApplication.run(LargestApplication.class, args);
	}

	private static void testmd5() {
		try {
			MessageDigest md5 = MessageDigest.getInstance("md5");
			String data = "test";
			md5.update(data.getBytes());
			byte result[] = md5.digest();
			System.out.println("md5 result is " + hex(result));
		} catch (NoSuchAlgorithmException e){
			e.printStackTrace();
		}

	}

	private static void testMD5()  {
		try {
			MessageDigest md5 = MessageDigest.getInstance("MD5");
			String data = "test";
			md5.update(data.getBytes());
			byte result[] = md5.digest();
			System.out.println("MD5 result is "+hex(result));
		} catch (NoSuchAlgorithmException e){
			e.printStackTrace();
		}

	}

	private static void testSHA1()  {
		try {
			MessageDigest md5 = MessageDigest.getInstance("sha1");
			String data = "test";
			md5.update(data.getBytes());
			byte result[] = md5.digest();
			System.out.println("sha1 result is "+hex(result));
		} catch (NoSuchAlgorithmException e){
			e.printStackTrace();
		}

	}

	private static void testSHA_1()  {
		try {
			MessageDigest md5 = MessageDigest.getInstance("sha-1");
			String data = "test";
			md5.update(data.getBytes());
			byte result[] = md5.digest();
			System.out.println("sha-1 result is "+hex(result));
		} catch (NoSuchAlgorithmException e){
			e.printStackTrace();
		}

	}

需要关注的一个地方是：SHA1这个加密算法，无论使用SHA1，还是SHA-1，都可以正常运行，在制定扫描策略的时候，就都需要考虑到。否则，就会导致漏网之鱼。

最后要说的一点是，即使有不同的写法，也都能正常运行，还是建议按照官方文档给出的建议来写，不容易造成困惑。