JAVA-SpringBoot&Actuator&Swagger

Fc04dB Lv4
  2024-09-03 21:39:21 2024-09-03 21:39:21 Created   2024-09-04 15:32:35 2024-09-04 15:32:35 Updated    

# Actuator

actuator 是 spring boot 提供的对应用系统的自省和监控的集成功能,提供了生产级别的功能,比如健康检查,审计,指标收集,HTTP 跟踪等,帮助我们监控和管理 Spring Boot 应用。可以对应用系统进行配置查看、相关功能统计等。

Untitled

# 图像化 Server&Client 端界面

Server:引入 Server 依赖 - 开启(@EnableAdminServer)

Untitled

Client:引入 Client 依赖 - 配置(连接目标,显示配置等)

Untitled

分别启动两个项目文件

Untitled

# 安全问题

# heapdump 泄漏

heapdump 端点提供来自应用程序 JVM 的堆转储

得到对应 heapdump 包可以使用工具进行分析:获取到配置信息(分析提取出敏感信息(配置帐号密码,接口信息 数据库 短信 云应用等配置)

image-20240903231616381

对于下载到的 heapdump 文件可以使用 JDumpSpider 提取器和 jvisualvm 分析器处理

java -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump :

image-20240903234241300

Untitled

其他漏洞复现 Spring Boot Actuator 漏洞复现合集

# Swagger

Swagger 是当下比较流行的实时接口文文档生成工具。接口文档是当前前后端分离项目中必不可少的工具,在前后端开发之前,后端要先出接口文档,前端根据接口文档来进行项目的开发,双方开发结束后在进行联调测试。

配置依赖:

1
2
3
4
5
6
7
8
9
10
<dependency>
    <groupId>io.springfox</groupId>
    <artifactId>springfox-swagger2</artifactId>
    <version>2.9.2</version>
</dependency>
<dependency>
    <groupId>io.springfox</groupId>
    <artifactId>springfox-swagger-ui</artifactId>
    <version>2.9.2</version>
</dependency>

Swagger UI:http://localhost:8080/swagger-ui.html

image-20240904003044844

3、安全问题

自动化测试:Postman
泄漏应用接口:用户登录,信息显示,上传文件等
可用于对未授权访问,信息泄漏,文件上传等安全漏洞的测试.

  • 打开 postman 打开工作台,在左侧找到 API

  • 打开 API 导入生成的 swagger 页面提供的 API:http://127.0.0.1:8080/v2/api-docs

  • 导入成功后点击 Api Documentation,点击右侧的运行,勾选想要测试的接口,执行即可

image-20240904005615959

  • Title: JAVA-SpringBoot&Actuator&Swagger
  • Author: Fc04dB
  • Created at : 2024-09-03 21:39:21
  • Updated at : 2024-09-04 15:32:35
  • Link: https://redefine.ohevan.com/2024/09/03/JAVA-Spring-Actuator-Swagger/
  • License: This work is licensed under CC BY-NC-SA 4.0.
Comments
On this page
JAVA-SpringBoot&Actuator&Swagger
  1. Actuator
  2. Swagger