漏洞1:敏感資訊獲取
http://馬賽克:8006/actuator/httptrace
這個接**懂的,可以獲取當前登入使用者資訊
漏洞2:獲取mysql賬號密碼
先弄env
host: 馬賽克:8006
然後在重新整理:
host: 馬賽克:8006
然後監聽
解密嘗試連線:
漏洞3:待補充
補充:後面我執行了下面語句並且重新整理了,主要是為了防止一直請求我的vpn,麻煩你們自己修改下配置,我也不太懂這個配置
host: 馬賽克:8006
cookie: jsessionid=7lalyz8-x4zqo0jkppbv4pmddgycq1gcs6srynqq
connection: close
content-length: 100
"}漏洞4:利用/actuator/heapdump 來獲取記憶體資訊,可以拿到賬號等相關資訊
然後使用mat軟體進行分析
actuator配置拓展
如之前文章最終效果 management endpoints web exposure 顯式配置不需要許可權驗證對外開放的端點 include actuator 的 web 訪問方式的根位址為 actuator,可以通過 management.endpoints.web.base path 引數進行...
springboot整合actuator安全問題
記錄一次springboot使用actuator作為監控的安全問題 伺服器突然出現大量報錯,如mybatis報錯,sql檢查沒問題。觀察同一時間的請求日誌,發現多個如下請求 如果整合了hikaricp作為資料庫連線池 該連線池有個提供連線前執行sql的配置spring.datasource.hika...
springboot 使用actuator監控
spring boot starter actuator是乙個用於暴露自身資訊的模組,主要用於監控與管理。org.springframework.boot spring boot starter actuator 使用字首 actuator加上端點id來訪問。例如,在預設情況下,health端點對映...