漏洞挖掘 | springboot未授权泄露AK/SK

最新推荐文章于 2024-12-17 17:03:28 发布
最新推荐文章于 2024-12-17 17:03:28 发布
阅读量950 收藏 8
点赞数 7
文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80127209/article/details/136258547
版权
本文描述了如何通过发现Springboot未授权页面,使用工具如JDumpSpider分析heapdump文件,发现AK/SK信息泄露的过程。作者强调了合法渗透和安全学习的重要性,提醒读者切勿非法使用这些技术。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文由掌控安全学院 -17828147368 投稿

通过信息收集到一个报错页面,一眼就看出这是个springboot

图片


上工具扫描,看看有没有springboot信息泄露

图片

扫描到了springboot未授权页面
 

图片


下载haepdump看看有没有敏感信息泄露:
 

图片


利用JDumpSpider-1.1-SNAPSHOT-full.jar工具对heapdump文件进行分析,发现其中泄露了AK/SK信息
 

最低0.47元/天 解锁文章
2301_80127209
关注
漏洞挖掘】——170、AK/SK数据信息泄露
Fly_鹏程万里
10-16 466
部分应用系统提供了身份证图片上传和头像上传的功能,同时将这些文件上传至OSS中,当我们在进行文件上传或者查看用户个人信息时有时候会从回显数据包中返回对应的AK/SK数据信息,导致攻击者可以通过AK/SK接管存储桶,从而造成大量的数据信息泄露
漏洞挖掘】——64、云主机AK/SK泄露利用
Fly_鹏程万里
06-11 760
云主机通过使用Access Key Id/Secret Access Key加密的方法来验证某个请求的发送者身份,其中Access Key ID(AK)用于标示用户,Secret Access Key(SK)是用户用于加密认证字符串和云厂商用来验证认证字符串的密钥,其中SK必须保密,原理为对称加解密,云主机接收到用户的请求后系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串并与用户请求中包含的认证字符串进行比对,如果认证字符串相同,系统认为用户拥有指定的操作权限并执行相关操作,如果不同则系统将忽略
spring actuator未授权之heapdump自动化利用【JDumpSpider
热门推荐
anan的博客
08-16 1万+
一款自动化分析heapdumo的工具
云主机AK/SK泄露利用
Fly_鹏程万里
10-20 1528
云主机通过使用Access Key Id/Secret Access Key加密的方法来验证某个请求的发送者身份,其中Access Key ID(AK)用于标示用户,Secret Access Key(SK)是用户用于加密认证字符串和云厂商用来验证认证字符串的密钥,其中SK必须保密,原理为对称加解密,云主机接收到用户的请求后系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串并与用户请求中包含的认证字符串进行比对,如果认证字符串相同,系统认为用户拥有指定的操作权限并执行相关操作,如果不同则系统将忽略
云主机AK/SK泄露挖掘
weixin_44217321的博客
01-22 1396
AK/SK(Access Key ID/Secret Access Key)即访问密钥,包含访问密钥ID(AK)和秘密访问密钥(SK)两部分,公有云通过AK识别用户的身份,通过SK对请求数据进行签名验证,用于确保请求的机密性、完整性和请求者身份的正确性。简单来说,云AK/SK是用于生成用户跟云平台的API通信的访问凭据。其中SK是必须要保密的,不能通过任何途径泄露,否则就会产生安全问题。
某小学AKSK泄露导致横向到云主机控制台
记录开发和安全学习过程中的点点滴滴
04-16 1028
某小学AKSK泄露导致横向到云主机控制台分享免责声明以下漏洞均已经上报漏洞平台。请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本博客及本人无关。分享声明此篇博文为微信公众号小呆安全的404Xyunxi_师傅投稿的,经过本人同意,进行分享。
spring-boot-aks:在AKS中部署简单的Spring Boot应用程序并使其安全
03-25
介绍 一个非常简单的Spring引导项目,可与Azure SQL DB进行通信并将秘密保存在Azure Key Vault中,在Azure Kubernetes Service中运行,并通过Private Link与AKV和Azure SQL进行通信。 可以看到此项目和关联的DevOps管道,并将其用作Azure中实际项目的起点。 最终的架构看起来像 待办事项:添加架构图 入门 分支/克隆存储库并运行生成管道以在Azure中构建基础结构。 运行Deploy管道以部署Spring Boot App 前提条件 我们将对集群使用,以便集群管理员可以在用户身份或组成员身份上配置kubernetes RBAC。要运行terraform模板,您需要在变量aksadmingroupid提供此管理组的ID。
阿里云ak/sk漏洞利用工具
06-27
然而,如果AK/SK泄露或被恶意利用,可能会导致严重的安全问题,例如未授权访问、数据盗窃甚至整个系统的瘫痪。 本工具“阿里云AK/SK漏洞利用工具”设计的初衷可能是为了帮助安全研究人员模拟攻击场景,测试系统...
ak sk认证java demo,【华为云微服务引擎】从代码机制看AK/SK认证问题
weixin_29972227的博客
03-29 1454
前言用户开发的微服务要想注册到华为云CSE的服务中心,就需要用到AK/SK认证。由于CSEJavaSDK提供了较多的配置方式,有时候容易出现错配和漏配的情况,本文从CSEJavaSDK读取AK/SK的关键代码入手进行分析,希望能够给大家提供一点AK/SK认证失败时的定位思路。(本文基于CSEJavaSDK-2.3.30进行说明)代码逻辑分析首先需要说明的是,AK/SK也是一个配置项,因此它可以配置...
AK/SK泄露的潜在风险:阿里云公共DNS解析服务的SRC挖掘分析
最新发布
qq_56171392的博客
12-17 311
在云计算时代,API密钥(AccessKey ID和AccessKey Secret)是访问云服务的重要凭证。然而,若这些密钥被泄露,将可能导致严重的安全隐患。本文将分析某APP反编译源码中泄露的阿里云公共DNS解析服务AccessKey,并探讨其潜在的危害及防范措施。对比格式,发现一致,由此确定该AccessKey没有被加密,可以通过检索开发文档编写脚本进行调用。发现实现API调用还缺少一个key(签名)和ts(当前时间戳),注:由于返回数据涉及敏感信息,未放置调用成功图片,请自行复现!
JDumpSpider-1.1-SNAPSHOT-full.jar heapdump敏感信息泄露
06-14
heapdump敏感信息泄露分析工具
jspider网络蜘蛛工具
01-12
解压进入bin目录,用命令行jspider http://域名 download可以下载全部网页,另外还可以查看网站的错误
SpringBoot 集成 AKKA
weixin_42555971的博客
09-25 2094
另外 Actor,它也是通过 actorOf() 方法创建的,所以我们也需要写生产 Actor 引用的方法,Akka 提供了 IndirectActorProducer 接口,通过实现该接口,我们就可以实现DI(依赖注入)。这使得构建分布式系统变得更加容易。您可以使用AKKA的远程Actor和集群功能来实现分布式的任务分发、数据共享和容错机制。您可以创建多个Actor来处理数据的不同部分,并使用消息传递机制进行通信和协调。每个用户可以由一个Actor表示,消息可以通过Actor之间的邮箱进行传递。
SpringBoot 项目鉴权的 4 种方式
weixin_44421461的博客
07-06 521
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!每天14:00更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析...
记一次实战中的aliyun aksk泄露到接管服务器
DamnVanish的博客
08-26 1617
不同厂商的key有不同的特征可以去网上搜一下我记得有文章介绍了如何通过key来区分厂商。另外除了apiFinder还有HAE这类的插件也可以在数据包中检测敏感的信息,平时测一会就回头看一眼数据包的信息,很可能js文件中就隐藏着这些信息,耐心,细心,当然还得要些运气😎
Springboot信息泄露以及heapdump的利用
qq_50854662的博客
04-19 3451
Springboot信息泄露以及heapdump的利用
Spring Boot 项目鉴权的 4 种方式
yanglingzhi888的博客
07-03 347
文章介绍了spring-boot中实现通用auth的四种方式,包括 传统AOP、拦截器、参数解析器和过滤器,并提供了对应的实例代码,最后简单总结了下他们的执行顺序。最近一直被无尽的业务需求淹没,没时间喘息,终于接到一个能让我突破代码舒适区的活儿,解决它的过程非常曲折,一度让我怀疑人生,不过收获也很大,代码方面不明显,但感觉自己抹掉了 java、Tomcat、Spring 一直挡在我眼前的一层纱。对它们的理解上了一个新的层次。好久没输出了,于是挑一个方面总结一下,希望在梳理过程中再了解一些其他的东西。由于 J
springboot检测脚本
mashiro_hibiki的博客
03-28 327
附上字典。
aksk怎么认证 海康威视_AK/SK【HMAC】 认证
weixin_35650041的博客
12-30 2843
概要介绍AK/SK 认证通常用于调用 Open API【云服务 API】的服务端认证.在对接 PASS 平台和支付平台的时候,都会要求我们预先生成一个 access key【AK】 和 secure key【SK】【私钥】,然后通过签名的方式完成认证请求;这样可以避免传输 SK,且大多数情况下签名只允许使用一次,避免重放攻击.这种基于 AK/SK 认证的方式主要利用散列的消息认证码【Hash-ba...
如何利用泄漏的阿里云ak/sk和token信息
06-13
如果阿里云的AK/SK和Token泄漏,攻击者可以利用这些信息进行以下攻击: 1. 访问阿里云资源:攻击者可以使用泄露AK/SK或Token访问您的阿里云资源,包括云服务器、对象存储、数据库等,甚至可以进行恶意操作,比如删除数据、挂载云盘等。 2. 篡改数据:攻击者可以使用泄露AK/SK或Token篡改您的数据,比如在数据库中插入或删除数据,或者在对象存储中上传恶意文件。 3. 产生费用:攻击者可以使用泄露AK/SK或Token创建阿里云资源,比如创建云服务器、负载均衡等,从而产生费用。 4. 盗用账号:攻击者可以使用泄露AK/SK或Token获取更多的权限,比如创建新的临时AK/SK和Token,进一步扩大攻击面,最终可能导致整个账号被盗用。 因此,如果发现阿里云的AK/SK和Token泄露,您应该立即采取措施,比如撤销已经分配的AK/SK或Token,修改账号密码等,以免受到攻击者的攻击。同时,也应该加强账号安全,避免泄露敏感信息,比如使用复杂的密码,定期更换密码,开启多因素身份认证等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值