当前位置：首页 > news >正文

web应用安全和信息泄露

news 2025/7/4 4:56:46

使用springboot开发的应用可能存在各种使用不当导致的信息泄露和漏洞，在此记录

1：spring actuator导致的信息泄露

使用spring actuator你可以选择通过使用HTTP端点或使用JMX来管理和监控你的应用程序。审计、健康和指标收集也可以自动应用于你的应用程序。
使用maven依赖

<dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-actuator</artifactId></dependency>
</dependencies>

1.1、Endpoint配置启用检测

Actuator 端点（endpoint）让你可以监控并与你的应用程序互动。 Spring Boot包括一些内置的端点，并允许你添加自己的端点。例如，端点提供基本的应用程序健康信息：health

比如在application.yaml中配置

# Actuator 监控端点的配置项
management:endpoints:web:base-path: /actuator # Actuator 提供的 API 接口的根目录。默认为 /actuatorexposure:include: '*' # 需要开放的端点。默认值只打开 health 和 info 两个端点。通过设置 * 可以开放所有端点。

但是在开启 include: ‘*’ 或者开启heapdump之后会存在信息泄露
可用已通过访问http://127.0.0.1:port/actuator/env 获取程序运行的所有的配置信息（包括application配置文件系统的默认配置等）在这里插入图片描述
或者直接访问http://127.0.0.1:port/actuator/heapdump下载内存分析文件。里面可能会泄露配置的连接数据库的密码，ip等信息。

1.2、信息泄露复现

1、开启端点

management:endpoints:web:base-path: /actuator # Actuator 提供的 API 接口的根目录。默认为 /actuatorexposure:include: '*' # 需要开放的端点。默认值只打开 health 和 info 两个端点。通过设置 * 可以开放所有端点。

2、下载堆分析文件：http://127.0.0.1:port/actuator/heapdump
3、使用jvm堆分析工具分析JVM堆的heapdump：比如jdk自带的JDK自带的JVisualVM工具开源的https://github.com/wyzxxz/heapdump_tool
下载jar包后在运行目录下运行：后面的heapdump就是你下载的分析文件
在这里插入图片描述
输入0或者1选择分析的模式，选0即可
后输入passowrd就会开始查找，最终查询的结果会打印出来同时会写到当前目录下的*_output.txt文件中

里面可能存在配置的数据库密码等导致信息泄露

1.3、防御

方案1：禁用heapdump，使得无法访问堆分析文件
exclude: ‘heapdump’

management:endpoints:web:base-path: /actuator # Actuator 提供的 API 接口的根目录。默认为 /actuatorexposure:include: '*' # 需要开放的端点。默认值只打开 health 和 info 两个端点。通过设置 * ，可以开放所有端点。exclude: 'heapdump'   #禁用headump

此时重启程序再访问就访问不到了
在这里插入图片描述
方案2：结合Spring Security限制URL访问的规则