点击访问链接:
Swagger 接口
Swagger是一种用于描述API的开源框架,它使用OpenAPI规范来定义API的端点、请求、响应、模式等。Swagger接口泄露漏洞是指在使用Swagger描述API时,由于未正确配置访问控制或未实施安全措施,导致API接口被不授权的人员访问和利用,从而导致系统安全风险
点击访问链接:
Actuator 端点
Spring Boot Actuator 是一个用于监控和管理 Spring Boot 应用程序的功能模块。它提供了一系列生产就绪的功能,帮助你了解应用程序的运行状况,以及在运行时对应用程序进行调整。Actuator 使用了 Spring MVC 来暴露各种 HTTP 或 JMX 端点,通过这些端点你可以获取到应用程序的运行信息,如健康状态、指标、线程 dump、环境变量等
点击访问链接:
Druid 配置不当
Apache Druid 是阿里开源的高性能连接池和实时分析分布式数据存储系统,专为大规模时序数据和事件流分析设计,具有快速查询、低延迟写入及横向扩展能力 在导入Druid依赖时,没有在application.yml中添加配置或忘记配置账号密码(当然弱口令也是一个常见问题),此时Druid可以未授权访问,攻击者可直接获取websession信息,进行session爆破,以及通过weburi获取敏感信息路径,进行Fuzz攻击
MySQL JDBC反序列化漏洞分析:https://xz.aliyun.com/t/8159 该漏洞涉及的链路较为复杂,建议感兴趣的朋友使用IDEA进行调试分析,可以尝试测试 DNSLOG、CC、CB链……