近期在搞安全演练,每天可忙得晕头转向。总是要对各种使用 Spring 框架的 Java 应用程序进行安全审计,检查它们是否存在信息泄露这类安全隐患。这时候,发现 Spring 框架的 Java 应用程序有个常见的问题,就是生成的 heapdump 文件可能会包含敏感信息,要是没处理好,就会导致数据泄露,像用户信息、密码、会话数据这些都会有危险。
我找到了一个还不错的开源网络安全工具,就是 heapdump_tool。这工具作用可大了,它能提取不少类型的敏感信息呢。
在数据源方面,像 SpringDataSourceProperties、WeblogicDataSourceConnectionPoolConfig、MongoClient 这些里面的敏感信息它都能搞定;配置文件信息里,不管是 MapPropertySource、OriginTrackedMapPropertySource,还是各种其他类型的配置文件信息,也逃不过它的法眼;Redis 配置里的 RedisStandaloneConfiguration、JedisClient 相关内容同样能提取;还有 ShiroKey、CookieRememberMeManager 相关的,以及通过模糊搜索找出用户信息也不在话下。
用上这个工具来解析就方便多了。它有多种查询方式,要是我想根据关键词查询,比如输入 password,它就能把包含这个关键词的信息找出来;我也可以按照字符长度查询,像输入 len = 10 就能获取长度为 10 的所有 key 或者 value 值;还能按顺序获取,输入 num=1 - 100 就能得到顺序 1 - 100 的字符。如果要对类进行模糊搜索,输入 class = xxx 就能获取该类的 instance 数据信息;用 id = 0xaaaaa 可以获取指定 id 的 class 或者 object 数据信息;甚至可以用上正则查询。
想要获取工具的小伙伴可以直接拉至文章末尾
我们来提取并讨论上述工具描述中涉及的网络安全关键技术点:
-
能够从heapdump文件中提取多种类型的敏感信息,如数据源、配置文件信息、Redis配置、ShiroKey以及模糊搜索用户信息等,这涉及到对不同数据结构和类型的解析技术。
-
在特定环境(Windows10 + jdk8)下搭建测试环境,包括代码克隆、打包和运行等操作,这需要掌握相关的开发工具(如git、mvn)以及Java应用的部署技术。
-
利用Dirsearch工具对目标网站进行目录扫描,能够识别众多路径,这需要对目标网站的结构和常见路径有深入了解,以及掌握扫描工具的使用方法。 要。
-
使用heapdump_tool工具解析heapdump文件,该工具提供多种查询方式,如关键词查询、按字符长度查询、按顺序查询、类模糊搜索、id查询和正则查询等,这要求掌握文件解析算法和数据查询技术。
-
整体围绕Spring框架Java应用程序中heapdump信息泄露风险进行防范,包括发现风险、提取敏感信息等操作,这体现了针对特定框架的网络安全保护技术。
下载链接
https://github.com/callicoder/spring-boot-actuator-demo
原文始发于微信公众号(白帽学子):HeapDump【敏感信息提取工具】
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论