这可能是全网把Spring Boot信息泄露讲的最清楚的文章,毕竟出自阿里P7架构师之手

最新推荐文章于 2024-02-23 00:49:26 发布
VIP文章 最新推荐文章于 2024-02-23 00:49:26 发布
阅读量2.3k 收藏 6
点赞数
分类专栏: 面试 Java 架构 文章标签: java spring spring boot 安全 vue
文章中资料均可免费获取,有需要请添加yunduoa2019即可,另外每天23点到13点不回复,节假日也不回复,着急勿扰
本文链接:https://blog.csdn.net/mrchaochao/article/details/108516693
版权

一、路由地址及接口调用详情泄漏

开发环境切换为线上生产环境时,相关人员没有更改配置文件或忘记切换配置环境,导致此漏洞

直接访问以下几个路由,验证漏洞是否存在:

 

/api-docs
/v2/api-docs
/swagger-ui.html

一些可能会遇到的接口路由变形:

 

/api.html
/sw/swagger-ui.html
/api/swagger-ui.html
/template/swagger-ui.html
/spring-security-rest/api/swagger-ui.html
/spring-security-oauth-resource/swagger-ui.html

除此之外,下面的路由有时也会包含(或推测出)一些接口地址信息,但是无法获得参数相关信息:

 

/mappings
/actuator/mappings
/metrics
/actuator/metrics
/beans
/actuator/beans
/configprops
/actuator/configprops

一般来讲,知道 spring boot 应用的相关接口和传参信息并不能算是漏洞;

但是可以检查暴露的接口是否存在未授权访问、越权或者其他业务型漏洞。

二、配置不当而暴露的路由

主要是因为程序员开发时没有意识到暴露路由可能会造成安全风险,或者没有按照标准流程开发,忘记上线时需要修改/切换生产环境的配置

 

/actuator
/auditevents
/autoconfig
/beans
/caches
/conditions
/configprops
/docs
/dump
/env
/flyway
/health
/heapdump
/httptrace
/info
/intergrationgraph
/jolokia
/logfile
/loggers
/liquibase
/metrics
/mappings
/prometheus
/refresh
/scheduledtasks
/sessions
/shutdown
/trace
/threaddump
/actuator/auditevents
/actuator/beans
/actuator/health
/actuator/conditions
/actuator/configprops
/actuator/env
/actuator/info
/actuator/loggers
/actuator/heapdump
/actuator/threaddump
/actuator/metrics
/actuator/scheduledtasks
/actuator/httptrace
/actuator/mappings
/actuator/jolokia
/actuator/hystrix.stream

其中对寻找漏洞比较重要接口的有:

  • /env、/actuator/env:GET 请求 /env 会泄露环境变量信息,或者配置中的一些用户名,当程序员的属性名命名不规范 (例如 password 写成 psasword、pwd) 时,会泄露密码明文;同时有一定概率可以通过 POST 请求 /env 接口设置一些属性,触发相关 RCE 漏洞。

  • /jolokiaÿ

最低0.47元/天 解锁文章
mrchaochao
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
swagger修复建议(Swagger接口泄露漏洞修复)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
05-16 7152
目前遇到无法生成swagger的问题,总结了两种原因及解决方案,原因可能是接口缺少http属性和命名冲突。Swagger是一种用于描述API的开源框架,它使用OpenAPI规范来定义API的端点、请求、响应、模式等。Swagger接口泄露漏洞是指在使用Swagger描述API时,由于未正确配置访问控制或未实施安全措施,导致API接口被不授权的人员访问和利用,从而导致系统安全风险。
这本书介绍了如何使用 Spring BootSpring Cloud 构建微服务架构,是一个很好的学习资源
03-01
以下是这本书的一些主要内容: 微服务架构基础:介绍了微服务架构的基本概念、优势和挑战。通过比较传统的单体架构和微服务架构,讨论了微服务架构的设计原则和核心理念。 Spring Boot 入门:详细介绍了 Spring Boot 框架的基本概念和用法。包括如何使用 Spring Boot 初始化和配置应用程序、自动配置、起步依赖等内容。 Spring Cloud 入门:介绍了 Spring Cloud 框架及其组件的基本原理和用法。涵盖了服务注册与发现、配置中心、负载均衡、断路器等核心功能。 微服务开发实践:通过实际的案例和示例,演示了如何使用 Spring BootSpring Cloud 构建微服务应用程序。包括服务拆分、服务间通信、服务治理等方面的实践经验。 部署和运维:讨论了微服务架构的部署和运维问题,包括容器化部署、持续集成和持续交付、监控和日志管理等方面。 微服务架构的最佳实践:总结了一些微服务架构的最佳实践和设计模式,以及一些常见的陷阱和解决方案。
听听八年阿里架构师怎样述Dubbo和SpringCloud微服务架构
02-24
微服务架构是互联网很热门的话题,是互联网技术发展的必然结果。它提倡将单一应用程序划分成一组小的服务,服务之间互相协调、互相配合,为用户提供最终价值。虽然微服务架构没有公认的技术标准和规范或者草案,但业界已经有一些很有影响力的开源微服务架构框架提供了微服务的关键思路,例如Dubbo和SpringCloud。各大互联网公司也有自研的微服务框架,但其模式都于这二者相差不大。微服务主要的优势如下:1、降低复杂度将原来偶合在一起的复杂业务拆分为单个服务,规避了原本复杂度无止境的积累。每一个微服务专注于单一功能,并通过定义良好的接口清晰表述服务边界。每个服务开发者只专注服务本身,通过使用缓存、DAL等各种
spring boot泄露到接管云服务器平台
YJ_12340的博客
04-12 690
对于刚刚开始学习的人,个人建议可以多看看漏洞原理和别人的文章,从中吸取经验和渗透思路,很多实力其实都是经验累积出来的。可能有时候看到别人文章,会觉得就是一帆风顺的,很简单,但是其实很多人只是没把自己走了多少弯路,踩了多少坑说出来罢了。其实我看了好多篇文章,使用jvisualvm.exe尝试去解开heapdump,但是都无法正常获取,可能也是我操作有问题,后续使用Eclipse Memory Analyzer,完美解决。尝试前面三种,都是以500报错结束,具体也不知道是什么原因,有大佬知道的可以教一下。
浅析SpringBoot框架常见未授权访问漏洞
道阻且长,行则将至。
02-23 2691
本文总结学习了 Swagger-UI、SpringBoot Actuator、Druid、Webpack 组件的未授权访问漏洞基本原理与漏洞探测方法,在介绍了几款自动化扫描工具的同时,也简要分析了 CVE-2022-22947 Spring Cloud Gateway RCE 漏洞。
基于Spring BootSpring Cloud的微服务架构设计源码
最新发布
04-03
本设计源码提供了一个基于Spring BootSpring Cloud的微服务架构。项目包含399个文件,主要使用Java、Shell和HTML编程语言。文件类型包括223个Java源代码文件、48个XML配置文件、36个YAML配置文件、35个PNG图片文件、7个YAML文件、6个SQL文件、5个Markdown文档、5个TXT文档、4个VM文件和3个LauncherService文件。该架构是一个商业级项目升级优化而来,采用Spring Boot 2.7和Spring Cloud 2021等核心技术构建,完全遵循阿里巴巴编码规范。它提供基于React和Vue的两个前端框架,用于快速搭建企业级的SaaS多租户微服务平台。适合用于学习和实践Java、Shell和HTML技术,以及开发微服务相关的企业级应用。
spring boot未授权访问及Swagger漏洞处理
热门推荐
yudaxiaye的博客
06-20 1万+
无需修改源码,处理spring boot未授权访问及Swagger漏洞处理
springboot + swgger遇到的坑 - 请求地址‘/v2/api-docs‘,发生未知异常.
2301_76695845的博客
07-12 2294
ERROR c.w.r.c.s.h.GlobalExceptionHandler - [handleRuntimeException,83] - 请求地址'/v2/api-docs',发生未知异常. java.lang.NullPointerException: null
swagger关闭/v2/api-docs仍然可以访问漏洞
zy_crazy_code的博客
03-07 1万+
swagger、/v2/api-docs访问漏洞
API安全学习笔记
渗透测试研究中心
01-29 887
必要性前后端分离已经成为web的一大趋势,通过Tomcat+Ngnix(也可以中间有个Node.js),有效地进行解耦。并且前后端分离会为以后的大型分布式架构、弹性计算架构、微服务架构、多端化服务(多种客户端,例如:浏览器,车载终端,安卓,IOS等等)打下坚实的基础。而API就承担了前后端的通信的职责。所以学习api安全很有必要。本文的思路在于总结一些api方面常见的攻击面。笔者在这块也尚在学习...
API接口安全忽视:外部暴露的API接口未纳入防火墙策略
ZOMO的博客
02-08 998
本文从API接口面临的外泄风险和影响因素入手分析了当前存在的问题和挑战,并从三个方面提出了相应的改善和提升API接口安全的策略和建议,希望对相关从业者有所帮助。同时需要提醒的是,API接口的安全管理并非一次性任务,而是一个持续的过程和要求不断更新和完善。只有时刻关注行业动态和政策法规的变化及时调整自己的安全管理思路才能避免重蹈覆辙,切实保障整个系统的安全稳定运行。使用自动化管理工具多品牌异构防火墙统一管理多品牌、多型号防火墙统一管理;确保所有设备按同一标准配置,提升安全性;
架构师面试题系列之Spring Boot面试专题及答案(33题).docx
11-08
架构师面试题系列之Spring Boot面试专题及答案
Springboot之Actuator的渗透测试和漏洞修复
_江屿_
08-08 678
Springboot之Actuator的渗透测试和漏洞修复
如何保护SpringBoot配置文件中的敏感信息
YIYIYI
01-11 661
如何保护SpringBoot配置文件中的敏感信息
SpringBoot漏洞
weixin_51151498的博客
01-19 1万+
spring漏洞
Hystrix
Crazy_sounding的博客
01-12 699
Hystrix 容错 限流 降级 调用远程服务失败(异常, 服务不存在–调用的服务宕机或者调用的服务没启动, 超时–响应迅速,提高用户体验),可执行当前服务的一段代码,向客户端响应 返回错误提示 返回缓存数据 实现降级 添加hystrx依赖 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-netflix-
springfox接口文档如何关闭
TingSty小z的博客
02-20 4374
接口文档区分生产环境和开发环境,如何通过开关控制
SpringCloud(day03)
qq_35671247的博客
06-07 573
Hystrix 系统容错工具 1.快速失败-避免后台服务阻塞,故障向前传播,引起雪崩效应 2.限流 降级: 调用后台服务失败时(异常,服务崩溃,超时),执行当前服务中的一段代码,来向客户端发回相应结果。 1.添加hystrix依赖 2.启动类添加注解:@EnableCircuitBreaker 3.添加降级代码 //在远程调用方法上,添加注解,指定降级方法 //调用远程服务失败时,会自动跳转到指定的方法,执行降级代码 @HystrixCommand(fallbackMethod=“方法名”) public
记一次SpringBoot信息泄漏
weixin_51721627的博客
06-12 4151
质量欠佳,大佬轻喷
spring boot 入门_(第一)Spring Initializr-快速入门Spring Boot的最好选择
05-18
Spring Initializr 是一个 Web 应用程序,可以帮助我们快速创建 Spring Boot 项目。它可以通过提供一组选择来为我们生成一个基本的项目结构,其中包括 Maven 或 Gradle 构建文件、主应用程序类和一些基本配置。使用 Spring Initializr 可以大大简化创建 Spring Boot 项目的过程。 下面是使用 Spring Initializr 创建 Spring Boot 项目的步骤: 1. 打开 https://start.spring.io/ 网站 2. 选择项目的基本信息,包括项目的名称、类型、语言、Spring Boot 版本等。 3. 配置项目的依赖,可以选择常用的依赖库,例如 Web、JPA、Thymeleaf 等。 4. 点击 Generate 按钮,生成项目的压缩包。 5. 将生成的压缩包解压到本地,并使用 IDE 打开项目。 6. 在 IDE 中编写代码并运行项目,验证项目是否可以正常运行。 使用 Spring Initializr 可以快速创建 Spring Boot 项目,同时它也提供了很多可选的依赖库,可以根据项目的需求来选择所需要的库。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值