Springboot信息泄露

于 2024-09-26 12:05:24 发布
阅读量311 收藏 6
点赞数 5
文章标签: spring boot 后端 java 安全 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47118413/article/details/142552236
版权

Springboot信息泄露

作者: susususuao
免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。

一:前言

​Actuator组件为Spring Boot提供对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息。如果Actuator使用不当或者一些不经意的疏忽,可能造成信息泄露等严重的安全隐患。heapdump作为Actuator组件最危险的Web接口,如Actuator配置不当,攻击者可无鉴权获取heapdump堆转储文件,分析heapdump堆转储文件进一步获取敏感信息。

二:复现

1.通过访问/actuator,可以看到存在heapdump堆转储文件
在这里插入图片描述2.访问进去后自动下载heapdump堆转储文件
3.使用JDumpSpider-1.1-SNAPSHOT-full.jar工具,对转储文件进行提取敏感信息。

java -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump

在这里插入图片描述从提取到的信息中可以得到多个敏感信息
如:redis、postgresql账号密码
在这里插入图片描述在这里插入图片描述

3.修复建议

建议:
引入 security 依赖,打开安全限制并进行身份验证。
同时设置单独的 Actuator 管理端口并配置不对外网开放,禁用不需要接口, endpoints.env.enabled= false。

susu苏打水
关注
Spring boot带来的信息泄露
Ajekseg的博客
08-02 2696
1、Springboot引起的信息泄露暴露的密码不只我展示的这么多,其他组件碰到后应该多去探索发现。2、拿到密码后能做的也很多。先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。自己不成体系的自学效率很低又漫长,而且容易碰到天花板技术停止不前。httpshttpshttpshttpshttpshttps。...
深入Springboot内存泄露问题排查
Java烂猪皮
12-19 1789
最近提取的microservice是一种图像处理服务,它对图像进行大小调整、裁剪、重新编码和执行其他处理操作。这个服务是一个在Docker容器中使用springboot构建的Java应用程序,并部署到AWS托管的Kubernetes集群中。在实现该服务时,我们偶然发现了一个巨大的问题:该服务存在内存使用问题。本文将讨论我们识别和解决这些问题的方法。我将从对一般记忆问题的简要介绍开始,然后深入研究解决这个问题的过程。 我以为是内存泄漏。但是在使用内存分析器(MAT)时,当我比较一个快照和另一个快照的内存使
可造成敏感信息泄露Spring Boot之Actuator信息泄露漏洞三种利用方式总结
最新发布
WangsuSecurity的博客
08-02 3213
如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患。其中heapdump作为Actuator组件最为危险的Web端点,因未授权访问被恶意人员获取后进行分析,可进一步获取敏感信息
.js.map文件泄露/Springboot信息泄露
qq_68163788的博客
07-02 2042
.js.map文件泄露/Springboot信息泄露是一种常见的安全漏洞,可能导致敏感信息泄露。.js.map文件通常用于调试JavaScript代码,包含了源代码和调试信息。如果这些文件未经适当保护而被暴露在公共网络上,攻击者可以通过查看这些文件来获取关键代码、URL和其他敏感信息。 与此同时,Spring Boot是一个流行的Java应用程序框架,但在错误配置的情况下,可能会导致敏感信息泄露。例如,如果开发人员在应用程序中使用了默认的配置而没有适当地对其进行安全性检查和配置,可能会导致敏感信息
Spring Boot框架敏感信息泄露的完整介绍与SRC实战(附专属字典与PoC)
qq_50854662的博客
10-04 7444
转载于:https://www.freebuf.com/vuls/289710.html #前言##Spring Boot框架介绍Spring框架功能很强大,但是就算是一个很简单的项目,我们也要配置很多东西。因此就有了Spring Boot框架,它的作用很简单,就是帮我们自动配置,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。Spring Boot框架的核心就是自动配置,只要存在相应的jar包,Spring就帮我们自动配置。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的
泄漏服务:带有故意内存泄漏的Spring Boot应用程序
02-17
泄漏服务 一个带有故意内存泄漏的Spring Boot应用程序。
关于springboot内存泄露问题的排查
Java架构师之路的博客
07-02 2894
John Miiler 是ebay团队的高级后端工程师,负责各种项目,包括结账和支付系统。作为公司摆脱单一业务的努力的一部分,他的团队正试图将业务逻辑一块一块地提取到单独的微服务中。他分享了他的团队如何解决在提取图像处理微服务时遇到的内存使用问题。 最近提取的microservice是一种图像处理服务,它对图像进行大小调整、裁剪、重新编码和执行其他处理操作。这个服务是一个在Docker容器中使用springboot构建的Java应用程序,并部署到AWS托管的Kubernetes集群中。在实现该服务时,我们
基于springboot招聘信息管理系统.zip
03-21
此外,系统的安全性也非常重要,SpringBoot内置的安全组件Spring Security可以提供身份验证和授权功能,防止未授权访问和数据泄露。同时,还需要注意SQL注入、XSS攻击等安全问题,采取相应的防护措施。 总的来说,...
基于springboot框架毕业生就业信息管理系统设计与实现.docx
04-16
- **系统的安全性**:保护用户的个人信息不被泄露,防止恶意攻击。 - **系统的性能需求**:提高系统响应速度,优化用户体验。 #### 四、系统设计 ##### 4.1 系统架构设计 本系统采用B/S(Browser/Server)结构的...
Springboot信息泄露以及heapdump的利用
热门推荐
LiBai'S BLOG
10-12 2万+
努力是为了不平庸~安全有些时候是枯燥的,这一次,让我们先人一步,趣学渗透!
SpringBoot信息泄露利用
hot_milk1的博客
02-20 492
利用工具可获取敏感信息,以及可能存在部分RCE漏洞。其中前面可能会存在自定义字符串,例如。无法访问可利用双斜杠尝试绕过。
记一次SpringBoot信息泄漏
weixin_51721627的博客
06-12 4318
质量欠佳,大佬轻喷
Spring Boot Actuator敏感信息泄露漏洞
希望能找到你的答案
05-20 3364
Spring Boot Actuator 提供生产级别的功能,比如监控、追踪、控制,审计,指标收集等,帮助监控和管理Spring Boot 应用。Spring Boot Actuator敏感信息泄露漏洞,比如访问URL: http://xx.xx.xx.xx/actuator/env ,可获取到环境配置信息
Spring Boot信息泄露到AWS控制台劫持
weixin_40418457的博客
05-01 413
#原创文章# 0x01 引言 全球云厂商有很多,本文主要针对Spring Boot信息泄露在aws上的利用。 0x02 正文 1) 用shodan分析spring boot服务器在asn上分布的情况 https://beta.shodan.io/search/facet?query=http.favicon.hash%3A116323821&facet=asn aws的服务器主要分布在as16509和as14618。 2) 通过shodan命令行下载数据 as16509: shodan downl
SpringBoot漏洞利用
siu~
11-06 2848
SpringJava EE编程领域的一个轻量级开源框架,而spring boot是基于Sping优化而来的全新java框架 在日常的项目中经常会遇到使用Spring Boot框架的网站,博主对该框架的常见利用方式进行了整理。此文中的漏洞环境均在本地搭建。 本文聚焦于在黑盒角度中如何发现漏洞、利用漏洞。
实战纪实 | 某医院系统swagger接口未授权 + Springboot信息泄露
2301_80127209的博客
01-17 2372
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。通过指纹识别出该站是springboot开发,扫描目录查看是否存在泄露。很多接口,不可能一个一个手动测试吧,上工具:swagger-hack。工具扫描完会生成文档,查看文档,是否有返回敏感内容。开局还是先测一下登录框,弱密码走一波,无果。帮助你在面试中脱颖而出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

susu苏打水

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值