actuator - 第 3 | CN-SEC 中文网

安全文章

Spring Boot Actuator信息泄露漏洞三种利用方式总结

原文链接：https://www.freebuf.com/vuls/407651.html1.介绍Spring Boot是一个基于Spring的套件，它提供了一个即开即用的应用程序架构，可以简化Spr...

08月11日38 views评论

阅读全文

安全工具

Spring Actuator端点的Bp被动扫描插件

打算不定期分享一些github不错的项目，仅作分享。侵权删！确实靠它捡了不少洞，打了一些shell 下载 https://github.com/whwlsfb/SpringSpider ...

08月10日22 views评论

阅读全文

安全文章

某系统漏洞挖掘小记

无问社区站内阅读链接： http://www.wwlib.cn/index.php/artread/artid/16121.html 1、打开的时候只是⼀个简介⻚⾯，想从app去爆破其账号密码，但是未...

07月30日29 views评论

阅读全文

安全文章

Spring未授权星号脱敏获取

一.漏洞介绍 spring actuator是springboot用来管理资源处理数据、映射url端点等具有一系列功能的工具，当没有配置安全访问时，就会把一些端点数据和数据库敏感信息暴露在外 /aut...

07月24日11 views评论

阅读全文

安全文章

Nacos结合Spring Cloud Gateway RCE利用

Spring Cloud Gateway曾出现CVE-2022-22947漏洞，该漏洞允许攻击者通过动态配置路由，执行SpEL表达式注入漏洞，当攻击者可以访问Actuator API的情况下，将可以利...

05月21日22 views评论

阅读全文

安全工具

[工具篇] BurpSuite插件-SpringSpider

工具介绍该工具为被动扫描Spring Actuator端点的BurpSuite插件，用于解决多层级目录下隐藏的Actuator端点、或端点需要Bypass才能访问的情况下的漏报问题。安装方法导航至B...

05月13日43 views评论

阅读全文

代码审计

一文教你学会java代码审计

一、前置知识本文主要讲解基础的代码审计思路与方法技巧，适合有一定java基础，无审计经验的同学学习。二、漏洞挖掘1、配置信息先看pom.xml,了解到使用了哪个依赖库以及版本，从而可以确定是否存在漏洞...

05月09日58 views评论

阅读全文

安全文章

Web渗透测试-实战方法思路总结

目录尽可能的搜集目标的信息信息搜集的分类搜索引擎2. Shodan3. Zoomeye（钟馗之眼）企业信息whois信息Nslookup的用法子域名收集真实IP获取指纹识别端口扫描Nmap旁站C段查询...

04月23日44 views评论

阅读全文

安全文章

Spring Boot Actuator详解与漏洞利用2

Actuator 是Spring Boot提供的对应用系统的监控和管理的集成功能，可以查看应用配置的详细信息，例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信息以及Web请...

03月08日28 views评论

阅读全文

安全文章

Springboot未授权之httptrace和logfile的实战利用

S声明：该公众号大部分文章来自作者日常学习笔记，未经授权，严禁转载，如需转载，联系洪椒攻防实验室公众号。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。0x00...

03月05日95 views评论

阅读全文

移动安全

记一次微信小程序渗透用1分钱充值100元

一次很逆天的小程序渗透过程，给开发老哥加鸡腿！任意用户登录首先是用户登录页面手机号一键登录，抓包发现请求中泄露了sessionKey。 sessionKey是微信服务器给开发者服务器颁发的身份...

03月04日38 views评论

阅读全文

安全文章

Spring Boot 信息泄露总结

点击蓝字，关注我们1. 目标1. 微信sessionkey泄露导致任意用户登录点击快捷登录,发现可以使用手机号进行登录,发现sessionkey，使用工具利用没有账号，尝试13111111111(一般...

02月28日31 views评论

阅读全文

在线咨询

微信