大家都知道,Springboot是JAVA开源的轻量级设计层框架,程序员如果对该框架配置不当就会遇到各种各样的信息漏洞情况,比如Spring boot 的actuator是对应用系统监控的配置,在护网行动或者攻防演练的场景里,经常会发现企业配置actuator不当导致一些敏感信息泄露的情况,比如服务器的heapdump文件,攻击者可以直接通过下载heapdump文件,然后通过一些渗透工具直接分析heapdump文件,并获取一些数据库的相关信息,比如:数据库的用户名和密码、ip地址等等相关信息。
今天我们用内存分析工具查看heapdump文件信息泄露情况,它可以帮助我们分析出heap dump文件的相关信息。
1、此软件的名称是MemoryAnalyzer,我用的是1.13版本,大家可以在网上搜索,也可以私信找我要。
2、打开内存分析软件界面,导入heapdump文件。
3、点击OQL标签,用相关语句进行一些敏感数据的查询。
4、根据不同的spring boot版本,需要的语句命令不同。
Spring boot 2.x版本:select * from java.util.LinkedHashMap$Entry x WHERE (toString(x.key).contains("password"))
Spring boot 1.x版本:select * from java.util.Hashtable$Entry x WHERE (toString(x.key).contains("password"))
5、在java.util.LinkedHashMap$Entry实例的选项中,找到了redis数据库的明文密码。
所以要防止spring boot信息泄露,还是要删除一些不必要的配置。把网络安全做到极致,欢迎沟通交流。
页面更新:2024-05-01
本站资料均由网友自行发布提供,仅用于学习交流。如有版权问题,请与我联系,QQ:4156828
© CopyRight 2020-2024 All Rights Reserved. Powered By 71396.com 闽ICP备11008920号-4
闽公网安备35020302034903号