目录概要 前言 工具介绍 工具简介 ...
Spring Boot Actuator 漏洞利用
声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!前言Actuator 是 Spr...
CVE-2022-22947 远程代码执行漏洞复现分析 - FreeBuf网络安全行业门户
简介前段时间有篇文章[1]披露了开源项目 Spring Cloud Gateway 的一个远程代码执行漏洞,编号为 CVE-2022-22947。受影响版本根据 VMWare 和 Spring 的官方...
Springboot之Actuator信息泄露漏洞利用
0x01 什么是Actuator Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应...
Springboot安全扫描工具
0x01 Springboot漏洞 来一道面试题:对于Springboot框架有什么测试思路? 通俗地讲就是,探测敏感路径,查看是否有泄露敏感信息,以及是否泄露依赖信息,很多相关RCE都有依赖要求。 ...
批量刷取JS文件中接口信息,添加spring boot actuator目录扫描以及手机号、身份验证码等敏感信息匹配
https://github.com/Carrypan2023/leakinfo_finder原文始发于微信公众号(Ots安全):批量刷取JS文件中接口信息,添加spring boot actuato...
关于Spring Boot Actuator未授权访问【XXE、RCE】单/多目标测试
https://github.com/rabbitmask/SB-Actuator原文始发于微信公众号(Ots安全):关于Spring Boot Actuator未授权访问【XXE、RCE】单/多目标...
对于Spring Boot的渗透姿势
Spring Boot 是由Pivotal团队提供的全新框架,其设计目的是用来简化 Spring 应用的创建、运行、调试、部署等。使用 Spring Boot 可以做到专注于 Spring 应用的开发...
分享 | Springboot heapdump泄露读取分析
1. Springboot信息泄露1.1 可能泄露路由列表/api-docs /v2/api-docs /swagger-ui.html /api.html /sw/swagger-ui.html /...
实战|由actuator/health泄露导致的RCE
作者:小乳酸,转载于公众号网络安全之旅。0x01 前言现在spingboot的站点越来越多,在测试spingBoot未授权时,百分之九十的人看到只有actuator/health和actuator/i...
Spring Actuator端点的BurpSuite被动扫描插件
SpringSpider该工具为被动扫描Spring Actuator端点的BurpSuite插件,用于解决多层级目录下隐藏的Actuator端点、或端点需要Bypass才能访问的情况下的漏报问题。安...
CVE-2022-22947(附工具下载)
漏洞描述 Spring Cloud Gateway存在远程代码执行漏洞,该漏洞是发生在Spring Cloud Gateway应用程序的Actuator端点,其在启用、公开和不安全的情 况下容易受到代...
8