记一次SpringBoot的信息泄漏

已于 2022-06-27 10:46:16 修改
阅读量4.2k 收藏 2
点赞数 1
文章标签: web安全
于 2022-06-12 09:23:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51721627/article/details/125241366
版权

目录

一、信息收集

二、敏感信息泄露

一、信息收集

在Spring Boot下的/actuator目录存在大量接口泄露的情况,这次我们把目标放在/actuator/heapdump下。

57f8a6948d2b492ba3b2f56c86692ea4.png

 Heapdump也叫堆转储文件,是一个Java进程在某个时间点上的内存快照,其中可能包含开发者大量的敏感信息;例如各类服务的账号密码,服务器的敏感路径等等。

二、敏感信息泄露

在打开heapdump目录后,网页会自动下载heapdump文件,这时我们需要工具帮我们分析一下heapdump的内容,这里我用的是MemoryAnalyzer,点击QQL输入查询语句, 输入好查询语句后,点击红色感叹号就可以执行语句。

e57ca1ad5b7f445e81a39fb6f07a5823.png

发现目标网页用到站库分离,这就好办了,内存里面应该会有泄露的数据库账号密码

762d267ec86b453b91bef0542f98d2c3.png

果然发现了账号以及密码,接下来尝试一下登录,可能用户已经更改过密码,所以到这一步的时候,还是要看一部分运气5274b045c1ea454ca600ec09d17174ad.png

 连接成功

d67a25132a1348ef97aa106a9b870205.png

Skr11lex
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一次heapdump泄漏获取服务器权限
千寻的博客
11-04 2117
1、通过获取边界服务器权限,进一步发现服务器的配置文件泄漏 2、通过代理,成功连接多台数据库、多个主机
Spring boot带来的信息泄露
Ajekseg的博客
08-02 2621
1、Springboot引起的信息泄露暴露的密码不只我展示的这么多,其他组件碰到后应该多去探索发现。2、拿到密码后能做的也很多。先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。自己不成体系的自学效率很低又漫长,而且容易碰到天花板技术停止不前。httpshttpshttpshttpshttpshttps。...
Springboot信息泄露以及heapdump的利用_heapdump漏洞
最新发布
2401_85113281的博客
06-04 422
*开源地址:https://docs.qq.com/doc/DSmxTbFJ1cmN1R2dB **努力是为了不平庸~安全有些时候是枯燥的,这一次,让我们先人一步,趣学渗透!
Actuator内存泄露及利用&Swagger未授权&自动化测试实现
qq_46081990的博客
12-20 2520
本文主要介绍了Actuator和Swagger的未授权访问导致的漏洞利用。Actuator提供了一系列端点用于监控和管理Spring Boot应用程序,但配置不当可能导致敏感信息泄露。Swagger是一个方便开发人员进行接口开发和测试的工具,可用于自动化接口漏洞安全测试。使用Postman、BurpSuite和Xray进行工具联动,自动化测试Swagger接口,可大大提升效率。
SpringBoot信息泄露利用
hot_milk1的博客
02-20 453
利用工具可获取敏感信息,以及可能存在部分RCE漏洞。其中前面可能会存在自定义字符串,例如。无法访问可利用双斜杠尝试绕过。
这可能是全网把Spring Boot信息泄露讲的最清楚的文章,毕竟出自阿里P7架构师之手
文章中资料均可获取,有需要请添加yunduoa2019即可
09-10 2499
一、路由地址及接口调用详情泄漏 开发环境切换为线上生产环境时,相关人员没有更改配置文件或忘切换配置环境,导致此漏洞 直接访问以下几个路由,验证漏洞是否存在: /api-docs /v2/api-docs /swagger-ui.html 一些可能会遇到的接口路由变形: /api.html /sw/swagger-ui.html /api/swagger-ui.html /template/swagger-ui.html /spring-security-rest/api/swa..
基于Springboot信息化在线教学平台.zip
03-12
本项目“基于Springboot信息化在线教学平台”是针对这一需求而设计的,旨在为学生、教师及管理员提供全方位的教学服务。该平台运用了现代化的Web开发技术,主要由以下几个核心部分构成: 1. **管理员功能**:管理...
基于SpringBoot的轻量级城镇道路养护信息管理系统.zip
08-16
4. 养护录管理:录每一次养护操作的详细信息,如养护人员、使用的设备、耗材、养护结果等,便于后期评估和统计。 5. 报修功能:公众可以报告道路问题,系统接收并处理这些报告,提高响应速度和处理效率。 6. ...
基于springboot大学生租房系统.zip
03-23
4. **Java语言**:Java是后端开发的主流语言,具有“一次编写,到处运行”的特性。在租房系统中,Java主要负责服务器端的逻辑处理,如用户认证、数据验证、业务逻辑控制等。 5. **数据库设计**:为了存储用户信息、...
基于Springboot的在线商城系统.zip
03-07
购物车功能让用户可以保存多个商品并一次性结算,支付环节则需要对接第三方支付平台,如支付宝、微信支付,确保交易安全。订单管理模块录用户的购买历史,包括订单状态(待支付、已支付、已发货、已完成等)、物流...
基于springboot班级综合测评管理系统.zip
03-23
《基于SpringBoot的...总结,这个基于SpringBoot的班级综合测评管理系统,充分利用了现代Web开发的优势,实现了高效、灵活的测评管理功能,同时考虑了安全性、可扩展性和用户体验,是教育信息化领域的一次创新实践。
Springboot heapdump信息泄露漏洞
00勇士王子的博客
02-18 8544
详细内容参考博客:https://www.cnblogs.com/snowie/p/15561081.html#12heapdump 我这里遇到一个站,录一下: 发现heapdump泄露,下载文件 使用工具进行分析,可以查找到datasource的密码,危害很大 工具下载链接https://www.eclipse.org/mat/downloads.php 最后漏洞定级为中级 ...
Springboot之Actuator信息泄露漏洞利用
热门推荐
JHIII的博客
08-30 2万+
Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信息以及Web请求的详细信息等。如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患(外部人员非授权访问Actuator端点)。...
Spring Data REST 敏感信息泄露漏洞
OSCS开源安全社区
09-20 617
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。在 Spring Data REST 中允许通过 HTTP PATCH 方法访问公开的资源的应用程序,但由于对请求的校验不完全,导致可以通过请求底层域模型的结构来获取隐藏的实体属性。升级org.springframework.data:spring-data-rest-webmvc到 3.6.7 或 3.7.3 或更高版本。攻击者可利用该漏洞获取敏感信息
Spring Boot后端: Actuator未授权访问漏洞解决
qq_46119575的博客
01-05 1万+
Spring Boot后端: Actuator未授权访问漏洞解决
SpringBoot项目配置明文密码泄露问题的处理方式
Sunshinejourney的博客
12-02 461
SpringBoot项目配置明文密码泄露问题的处理方式
Spring Boot信息泄露
谢公子的博客
11-23 1万+
参考文章: https://blog.csdn.net/weixin_45039616/article/details/106637978 https://www.freebuf.com/news/193509.html
dump heap及分析内存泄漏
archie_7的博客
03-02 8015
服务范围
SpringBoot 异常处理
架构之路
02-23 3720
如何排除SpringBoot默认的异常管理逻辑@SpringBootApplication(exclude = ErrorMvcAutoConfiguration.class)实现自定义的异常处理页面http://blog.csdn.net/whatlookingfor/article/details/51548923404.html、500.html实现ErrorPageRegistrar接口,注
SpringBoot集成ChatGPT
04-04
作为一个AI语言模型,ChatGPT可以与SpringBoot集成,实现基于自然语言的智能聊天应用。以下是基本的步骤: 1. 确保已经安装好Java运行环境和SpringBoot框架。 2. 下载ChatGPT开源代码,或者使用已经安装好的ChatGPT API。 3. 在SpringBoot应用的pom.xml文件中添加ChatGPT的依赖,可以使用Maven或Gradle进行管理。 4. 创建SpringBoot的Controller类,定义请求路径和响应方式,将ChatGPT的API集成到Controller中。 5. 编写前端页面,使用JavaScript或其他相关技术调用后端接口,实现与ChatGPT的交互。 6. 测试应用,确保ChatGPT能够正确响应用户的请求,并生成合适的回复。 7. 部署应用到服务器上,或者使用云服务进行部署。 需要注意的是,集成ChatGPT需要一定的编程经验和计算机基础知识,同时还需要深入了解ChatGPT的API接口和使用方法。此外,还需要保证服务器的安全性和稳定性,避免出现数据泄露和系统崩溃等问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值