java安全之actuator监控系统漏洞

java安全
发布日期:   2024-12-17
更新日期:   2024-12-17
文章字数:   151
阅读时长:   1 分

漏洞原理

actuator是SpringBoot里一个服务器信息的监控系统,会监控服务器缓存、内存、配置信息等的使用情况。

默认端口是8081,可以查看到它的监控各种信息的路径

image-20241217142510748

其中的heapdump这个信息最为重要,访问将其下载下来

image-20241217142615007

然后通过工具JDumpSpider-1.1-SNAPSHOT-full.jar可以看到其中的敏感信息,如数据库、redis等的配置信息等。

java -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump

image-20241217145212956

可以查看到配置信息中有jdbc配置,数据库类型、数据库、密码,都有。

文章作者: 0x00dream
文章链接: http://0x00dream.github.io/2024/12/17/java-an-quan/java-an-quan-zhi-actuator-jian-kong-xi-tong-lou-dong/
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 0x00dream !
java安全
  目录