广东的网站备案,工业设计产品设计案例,上海外贸公司注册流程及条件,wordpress如何通过后台增加主菜单使用springboot开发的应用可能存在各种使用不当导致的信息泄露和漏洞#xff0c;在此记录
1#xff1a;spring actuator导致的信息泄露
使用spring actuator你可以选择通过使用HTTP端点或使用JMX来管理和监控你的应用程序。 审计、健康和指标收集也可以自动应用于你的应用程…使用springboot开发的应用可能存在各种使用不当导致的信息泄露和漏洞在此记录
1spring actuator导致的信息泄露
使用spring actuator你可以选择通过使用HTTP端点或使用JMX来管理和监控你的应用程序。 审计、健康和指标收集也可以自动应用于你的应用程序。 使用maven依赖
dependenciesdependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-actuator/artifactId/dependency
/dependencies1.1、Endpoint配置启用检测
Actuator 端点endpoint让你可以监控并与你的应用程序互动。 Spring Boot包括一些内置的端点并允许你添加自己的端点。 例如 端点提供基本的应用程序健康信息health
比如在application.yaml中配置
# Actuator 监控端点的配置项
management:endpoints:web:base-path: /actuator # Actuator 提供的 API 接口的根目录。默认为 /actuatorexposure:include: * # 需要开放的端点。默认值只打开 health 和 info 两个端点。通过设置 * 可以开放所有端点。但是在开启 include: ‘*’ 或者开启heapdump之后会存在信息泄露 可用已通过访问http://127.0.0.1:port/actuator/env 获取程序运行的所有的配置信息包括application配置文件系统的默认配置等 或者直接访问http://127.0.0.1:port/actuator/heapdump下载内存分析文件。里面可能会泄露配置的连接数据库的密码ip等信息。
1.2、信息泄露复现
1、开启端点
management:endpoints:web:base-path: /actuator # Actuator 提供的 API 接口的根目录。默认为 /actuatorexposure:include: * # 需要开放的端点。默认值只打开 health 和 info 两个端点。通过设置 * 可以开放所有端点。2、下载堆分析文件http://127.0.0.1:port/actuator/heapdump 3、使用jvm堆分析工具分析JVM堆的heapdump比如jdk自带的JDK自带的JVisualVM工具开源的https://github.com/wyzxxz/heapdump_tool 下载jar包后在运行目录下运行后面的heapdump就是你下载的分析文件 输入0或者1选择分析的模式选0即可 后输入passowrd就会开始查找最终查询的结果会打印出来同时会写到当前目录下的*_output.txt文件中 里面可能存在配置的数据库密码等导致信息泄露
1.3、防御
方案1禁用heapdump使得无法访问堆分析文件 exclude: ‘heapdump’
management:endpoints:web:base-path: /actuator # Actuator 提供的 API 接口的根目录。默认为 /actuatorexposure:include: * # 需要开放的端点。默认值只打开 health 和 info 两个端点。通过设置 * 可以开放所有端点。exclude: heapdump #禁用headump此时重启程序再访问就访问不到了 方案2结合Spring Security限制URL访问的规则
2服务端口的合理使用
合理开通防火墙端口。 对于mysql,redis后端的服务端口不应该暴漏给公网上只允许在内网通过前端连接后台后台连接数据库。 严格区分生产和测试数据库。有时候为了测试方便会开放测试数据库的端口给公网注意区分生产上
3弱密码管理
对于数据库redis必须设立密码对于mysql\redis\应用的登录入口严禁使用弱密码如123456、admin123、admin\admin等常见密码非常容易被彩虹表破解。建议设立的复杂一些
4服务端攻击
5客户端攻击
5.1、跨站脚本XSS攻击
知识点简介 存在三种XSS类型通常针对用户的浏览器
反射式XSS应用程序或API包括未经验证和未经转义的用户输入作为HTML输出的一部分。一个成功的攻击可以让攻击者在受害者的浏览器中执行任意的HTML和JavaScript。 通常用户将需要与指向攻击者控制页面的某些恶意链接进行交互例如恶意漏洞网站广告或类似内容。
存储式XSS你的应用或者API将未净化的用户输入存储下来了并在后期在其他用户或者管理员的页面展示出来。 存储型XSS一般被认为是高危或严重的风险。
基于DOM的XSS会动态的将攻击者可控的内容加入页面的JavaScript框架、单页面程序或API存在这种类型的漏洞。理想的来说你应该避免将攻击者可控的数据发送给不安全的JavaScriptAPI。
典型的XSS攻击可导致盗取session、账户、绕过MFA、DIV替换、对用户浏览器的攻击例如恶意软件下载、键盘记录以及其他用户侧的攻击。
5.2、CSRF 攻击
5.3、点击劫持
