Springboot信息泄露
作者: susususuao
免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。
一:前言
Actuator组件为Spring Boot提供对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息。如果Actuator使用不当或者一些不经意的疏忽,可能造成信息泄露等严重的安全隐患。heapdump作为Actuator组件最危险的Web接口,如Actuator配置不当,攻击者可无鉴权获取heapdump堆转储文件,分析heapdump堆转储文件进一步获取敏感信息。
二:复现
1.通过访问/actuator,可以看到存在heapdump堆转储文件
2.访问进去后自动下载heapdump堆转储文件
3.使用JDumpSpider-1.1-SNAPSHOT-full.jar工具,对转储文件进行提取敏感信息。
java -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump
从提取到的信息中可以得到多个敏感信息
如:redis、postgresql账号密码
3.修复建议
建议:
引入 security 依赖,打开安全限制并进行身份验证。
同时设置单独的 Actuator 管理端口并配置不对外网开放,禁用不需要接口, endpoints.env.enabled= false。