【web安全】Spring boot heapdump获取敏感信息

最新推荐文章于 2025-10-28 18:15:24 发布
原创 最新推荐文章于 2025-10-28 18:15:24 发布 · 4.6k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #spring boot #java #网络安全

本文探讨了Spring Boot Actuator在配置不当的情况下可能导致的heapdump文件泄露,通过分析heapdump,攻击者可以获取敏感信息。文章介绍了识别版本、选择分析工具、OQL查询以及防控措施,提醒开发者注意安全配置。

一、概述

微服务是目前较为热门的技术,Spring boot 是 Spring 的一套快速配置脚手架,可以基于Spring boot 快速开发单个微服务,微服务的特点决定了功能模块分布式部署,在不同的机器上相互通过服务调用进行交互,业务流会经过多个微服务的处理和传递。

​ 多个微服务下,微服务的监控显得尤为重要。Actuator组件为Spring Boot提供对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。

​ 如果Actuator使用不当或者一些不经意的疏忽,可能造成信息泄露等严重的安全隐患。/heapdump作为Actuator组件最为危险的Web接口,如Actuator配置不当,攻击者可无鉴权获取heapdump堆转储文件,分析heapdump堆转储文件进一步获取敏感信息。

Actuator 用来对应用系统进行自省和监控的功能模块,其提供的执行器端点分为两类:

​ 1.原生端点

​ 2.用户自定义扩展端点

原生端点主要有:

<
HTTP 方法 路径 描述
GET /dump 获取当前应用的所有线程dump情况。当出现内存占用过高等情况下,可以帮助分析线程的使用情况,帮助定位问题。
GET /heapdump 堆转储文件
GET /env 获取全部环境属性
GET /env/{name} 根据名称获取特定的环境属性值
GET /autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过
GET /configprops 描述配置属性(包含默认值)如何注入 Bean
GET /beans 描述应用程序上下文里全部的 Bean,以及它们的关系
GET /health 报告应用程序的健康指标,这些值由 HealthIndicator 的实现类提供
GET /info 获取应用程序的定制信息,这些信息由 info 打头的属性提供
GET /mappings
最低0.47元/天 解锁文章
Spring Boot内存转储(heapdump)的安全性及敏感信息保护
YtyVerilog的博客
09-22 2167
本文将讨论Spring Boot应用程序中的内存转储(heapdump)文件的安全性问题,并提供相应的源代码示例。通过禁用自动Heap Dump、自定义生成路径以及加密Heap Dump文件,我们可以降低敏感信息泄露的风险。通过禁用自动heapdump、定制生成路径以及加密heapdump文件,我们可以降低敏感信息泄漏的风险。本文将讨论Spring Boot应用程序中Heap Dump文件的安全性问题,并提供相关的源代码示例。可以在应用程序启动时调用该方法,对生成的Heap Dump文件进行加密保护。
Springboot信息泄露以及heapdump利用
热门推荐
LiBai'S BLOG
10-12 3万+
努力是为了不平庸~安全有些时候是枯燥的,这一次,让我们先人一步,趣学渗透!
Actuator内存泄露及利用&Swagger未授权&自动化测试实现
qq_46081990的博客
12-20 4153
本文主要介绍了Actuator和Swagger的未授权访问导致的漏洞利用。Actuator提供了一系列端点用于监控和管理Spring Boot应用程序,但配置不当可能导致敏感信息泄露。Swagger是一个方便开发人员进行接口开发和测试的工具,可用于自动化接口漏洞安全测试。使用Postman、BurpSuite和Xray进行工具联动,自动化测试Swagger接口,可大大提升效率。
SpringBoot Actuator端点敏感信息泄露修复
最新发布
m0_61835385的博客
10-28 334
SpringBoot Actuator端点敏感信息泄露修复
渗透测试常见的actuator漏洞排查
hackzkaq的博客
12-04 945
Actuator’æ ktʃʊˌeɪtə是 Spring Boot 提供的对应用系统的自省和监控的集成功能,可以对应用系统进行配置查看、相关功能统计等。在 Spring Cloud 中主要是完成微服务的监控,完成监控治理。可以查看微服务间的数据处理和调用,当它们之间出现了异常,就可以快速定位到出现问题的地方。Actuator监控项若未授权,则可通过访问的方式获取信息,造成信息泄露。
heapdump敏感信息分析
菜鸟学安全的博客
06-14 1281
heapdumpheapdump文件是一个二进制文件,它保存了某一时刻JVM堆中对象使用情况。HeapDump文件是指定时刻的Java堆栈的快照,是一种镜像文件。即时运行是的内存文件,其中包含有大量敏感信息,可以用工具反编译出来。
记录一次spring-boot程序内存泄露排查
liufang1991的专栏
01-09 7590
现象 spring boot项目jvm启动配置-Xms4g -Xmx4g,然而很不幸的是程序所占的内存越来越高,都达到了12个多G,只能临时重启服务 排查一:开发环境和测试环境调试 用jdk自带的jvisualvm.exe,查看最占空间的类和实例最多的类,找到其最近的内存释放点一般就是内存泄露对象,也可以用jstat查看jvm进程实例最多的类 本机启动程序,postman或者jmeter调用程序...
web安全Spring boot heapdump获取信息
顶峰
12-20 837
微服务是目前较为热门的技术,Spring bootSpring 的一套快速配置脚手架,可以基于Spring boot 快速开发单个微服务,微服务的特点决定了功能模块分布式部署,在不同的机器上相互通过服务调用进行交互,业务流会经过多个微服务的处理和传递。​ 多个微服务下,微服务的监控显得尤为重要。
Spring heapdump 敏感信息查找
酉酉的博客
07-12 3831
spring-boot-actuator模块提供了所有的生产状态下的所有功能发现一个 开放在互联网中,并且能下载搜索到env存在敏感数据,class路径为,密码为脱敏的*星号,可以通过专门的分析软件进行明文的查找使用工具Eclipse Memory Analyzer(MAT)下载地址,对heapdump文件进行分析访问URL下载heapdump文件, 使用MAT打开heapdump文件选择使用OQL进行查询。heapdump_tool 工具查找...
可造成敏感信息泄露!Spring Boot之Actuator信息泄露漏洞三种利用方式总结
m0_74822999的博客
01-06 1438
Spring Boot是一个基于Spring的套件,它提供了一个即开即用的应用程序架构,可以简化Spring应用的创建及部署流程,帮助开发者更轻松快捷地构建出企业及应用。Spring Boot项目中Actuator模块提供了众多HTTP接口端点(Endpoint),来提供应用程序运行时的内部状态信息。可以使用http、jmx、ssh、telnet等来管理和监控应用。包括应用的审计(Auditing)、健康(health)状态信息、数据采集(metrics gathering)统计等监控运维的功能。
存在Springboot Heapdump
姜崽
12-27 488
Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator开发者可以很方便地对应用系统某些监控指标进行查看、统计等。Heapdump通过内存分析工具可获取包括密码的敏感信息
Springboot heapdump信息泄露漏洞
00勇士王子的博客
02-18 9281
详细内容参考博客:https://www.cnblogs.com/snowie/p/15561081.html#12heapdump 我这里遇到一个站,记录一下: 发现heapdump泄露,下载文件 使用工具进行分析,可以查找到datasource的密码,危害很大 工具下载链接https://www.eclipse.org/mat/downloads.php 最后漏洞定级为中级 ...
Spring boot heapdump获取信息
yggcwhat
05-01 5403
Spring boot heapdump获取信息
SpringBoot内存泄露,排查不易啊!
独行侠梦的博客
05-16 610
目录背景排查过程总结背景为了更好地实现对项目的管理,我们将组内一个项目迁移到 MDP 框架(基于 SpringBoot),随后我们就发现系统会频繁报出 Swap 区域使用量过高的异常。笔者被叫去帮忙查看原因,发现配置了 4G 堆内内存,但是实际使用的物理内存竟然高达 7G,确实不正常。JVM 参数配置是:“-XX:MetaspaceSize=256M-XX:MaxMet...
保护 SpringBoot 配置文件中的敏感信息
KJ-ZYJ的博客
09-10 361
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、使用步骤1.引入包2.配置加/解的密码3. 测试用例中生成加密后的秘钥4. 将加密后的字符串替换原明文附言 前言 使用过SpringBoot配置文件的朋友都知道,资源文件中的内容通常情况下是明文显示,安全性就比较低一些。 打开application.properties或application.yml,比如 MySql登陆密码,Redis登陆密码以及第三方的密钥等等一览无余,这里介绍一个加解密组件,提高一些属性配置的安全
SpringBoot heapdump 敏感信息泄露漏洞d修复
06-17
### SpringBoot heapdump敏感信息泄露漏洞修复方案 SpringBoot 的 `heapdump` 功能可能因不当配置或未授权访问导致敏感信息泄露。以下是针对该问题的详细修复方案: #### 1. 禁用 Actuator 的敏感端点 默认情况下,Spring Boot Actuator 提供了多个管理端点(如 `/heapdump`),这些端点如果未设置适当的权限控制,可能会被攻击者利用获取敏感数据。可以通过以下方式禁用或限制访问: ```properties # 完全禁用 /heapdump 端点 management.endpoints.web.exposure.include=health,info management.endpoints.web.exposure.exclude=heapdump ``` 上述配置将明确列出允许访问的端点,并排除 `heapdump` 端点[^3]。 #### 2. 配置身份验证和授权 为防止未授权访问,应启用基于 Spring Security 的身份验证和授权机制。例如: ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/actuator/heapdump").hasRole("ADMIN") // 仅允许管理员访问 .anyRequest().authenticated() .and() .httpBasic(); // 启用基本认证 } } ``` 通过上述代码,确保只有经过身份验证且具有 `ADMIN` 角色的用户才能访问 `/heapdump` 端点[^2]。 #### 3. 使用 HTTPS 加密通信 为了防止敏感信息在传输过程中被窃取,建议强制使用 HTTPS 协议。可以在 `application.properties` 中进行如下配置: ```properties server.ssl.enabled=true server.ssl.key-store=classpath:keystore.p12 server.ssl.key-store-password=secret server.ssl.keyStoreType=PKCS12 ``` 此配置将启用 SSL/TLS 加密,保护数据在客户端与服务器之间的传输安全[^4]。 #### 4. 定期更新依赖库 Spring Boot 的某些版本可能存在已知漏洞,因此需要定期检查并更新相关依赖库至最新版本。可以使用以下工具来检测过时依赖: ```bash ./mvnw dependency:tree -Dincludes=org.springframework.boot ``` 此外,推荐订阅官方的安全公告,及时了解并修复潜在的安全问题[^2]。 #### 5. 日志审计与监控 启用日志记录功能,对所有 Actuator 端点的访问行为进行监控。例如: ```properties logging.level.org.springframework.boot.actuate=INFO management.endpoint.auditevents.enabled=true ``` 这有助于发现异常访问模式并快速响应潜在威胁[^3]。 #### 6. 环境变量和配置文件的安全性 避免在配置文件中明文存储敏感信息(如密码)。推荐使用加密存储或外部化配置(如 AWS Secrets Manager 或 HashiCorp Vault)。 --- ### 示例代码:启用 Spring Security 并限制访问 以下是一个完整的 Spring Security 配置示例,用于保护 Actuator 端点: ```java @EnableWebSecurity public class ActuatorSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() // 禁用 CSRF(根据需求) .authorizeRequests() .antMatchers("/actuator/heapdump").hasRole("ADMIN") // 限制 /heapdump 访问 .anyRequest().permitAll() // 其他请求无需认证 .and() .httpBasic(); // 启用基本认证 } @Bean public UserDetailsService userDetailsService() { return new InMemoryUserDetailsManager( User.withDefaultPasswordEncoder() .username("admin") .password("password123") .roles("ADMIN") .build() ); } } ``` ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值