热门标签
热门文章
- 1Docker compose_docker-compose-linux-x86
- 2Neo4j高级应用技术专题系列 - APOC存储过程库-【2】路径扩展过程_neo4j apoc vrelationship
- 34线电子围栏安装示意图_全面讲解电子围栏系统组成及安装方法,一次就学会...
- 4情感分析预训练模型SKEP教程_预训练模型 情感分析
- 5Redis 实现消息队列_redis 消息队列
- 6吴乙己的数仓指南_1数仓开发流程简析
- 7Pandas读取某列、某行数据——loc、iloc用法总结_pandas 定位 某列 iloc
- 8STL中vector、list、deque的区别_deque vs vector
- 9Oracle23ai新特性单个INSERT INTO语句后跟多个VALUES子句_oracle insert into values 语句
- 10ubuntu将python3添加到环境变量_ubuntu24.04安装python3环境变量
当前位置: article > 正文
spring框架漏洞整理(Spring Boot Actuator相关漏洞)_spring路由泄露
作者:运维做开发 | 2024-08-21 06:26:01
赞
踩
spring路由泄露
本文搜集了所有 spring 相关漏洞,对它们的利用条件和检测方式进行梳理和总结,希望在面对 spring 的时候能够有一个更完整的思路。这里更多是的是的利用条件和检测方式的总结,主要以发现漏洞为目的,至于如何将漏洞效果最大化这里不做过多介绍,网上资料很多,直接查对应文章即可。本文重点讲解Spring Boot Actuator相关漏洞
Spring Boot Actuator相关漏洞
主要参考文章了https://github.com/LandGrey/SpringBootVulExploit 这篇文章,重新梳理了文章内容并补充了一些新的内容,公众号不能引入外链,这里记录一下利用条件,具体利用方法访问这篇文章查看下
利用条件是目标开启了 springboot 的 Actuator 的相关接口
-
Spring Boot < 1.5 默认未授权访问所有端点
-
Spring Boot >= 1.5 默认只允许访问/health 和/info 端点,但是此安全性通常被应用程序开发人员禁用
Actuator 信息泄漏问题
一、路由地址及接口调用详情泄漏问题
主要是 swagger 的相关路由,可能泄漏所有的接口及接口参数。
- /swagger
- /api-docs
- /api.html
- /swagger-ui
- /swagger/codes
- /api/index.html
- /api/v2/api-docs
- /v2/swagger.json
- /swagger-ui/html
- /distv2/index.html
- /swagger/index.html
- /sw/swagger-ui.html
- /api/swagger-ui.html
- /static/swagger.json
- /user/swagger-ui.html
- /swagger-ui/i
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/运维做开发/article/detail/1010540
推荐阅读
相关标签
