建设外贸网站费用,英文的购物网站,wordpress导航类网站,网站域名权039-安全开发-JavaEE应用SpringBoot框架Actuator监控泄漏Swagger自动化 #知识点#xff1a; 1、JavaEE-SpringBoot-监控系统-Actuator 2、JavaEE-SpringBoot-接口系统-Swagger 3、JavaEE-SpringBoot-监控接口安全问题 演示案例#xff1a; ➢Spring…039-安全开发-JavaEE应用SpringBoot框架Actuator监控泄漏Swagger自动化 #知识点 1、JavaEE-SpringBoot-监控系统-Actuator 2、JavaEE-SpringBoot-接口系统-Swagger 3、JavaEE-SpringBoot-监控接口安全问题 演示案例 ➢SpringBoot-监控系统-Actuator ➢SpringBoot-接口系统-Swagger ➢安全案例-JVM泄漏接口自动化 #SpringBoot-监控系统-Actuator
SpringBoot Actuator模块提供了生产级别的功能比如健康检查审计指标收集HTTP跟踪等帮助我们监控和管理Spring Boot应用。
1、开发使用
1、引入依赖
dependency
groupIdorg.springframework.boot/groupId
artifactIdspring-boot-starter-actuator/artifactId
/dependency2、配置监控 暴露配置 application.properties # 设置Spring Boot应用的端口为7777
server.port7777# 指定数据库连接的URL使用MySQL数据库连接本地主机localhost的3306端口上的名为dome01的数据库
spring.datasource.urljdbc:mysql://localhost:3306/dome01# 设置数据库的用户名为root
spring.datasource.nameroot# 设置数据库的密码为root
spring.datasource.passwordroot# 指定MySQL数据库的JDBC驱动程序的类名
spring.datasource.driver-class-namecom.mysql.jdbc.Driver**# 启用所有的Actuator端点允许通过HTTP访问监控和管理端点
management.endpoints.web.exposure.include*# 在健康检查端点中显示详细信息包括应用程序的各个健康指标
management.endpoint.health.show-detailsalways**application.yml management:endpoints:web:**# 允许通过HTTP访问所有的Actuator端点exposure:include: ***安全配置关闭隐私泄露的的端点即可 application.properties **# 启用或禁用Env端点false表示禁用
management.endpoint.env.enabledfalse# 启用或禁用Heap Dump端点false表示禁用
management.endpoint.heapdump.enabledfalse**application.yml management:endpoint:**# 启用或禁用Heap Dump端点false表示禁用heapdump:enabled: false # 启用接口关闭# 启用或禁用Env端点false表示禁用env:enabled: false # 启用接口关闭**3、 图像化ServerClient端界面 Server引入Server依赖-开启EnableAdminServer Client引入Client依赖-配置连接目标显示配置等 分别启动两个项目文件 2、安全问题
heapdump泄漏
得到对应heapdump包可以使用工具进行分析获取到配置信息分析提取出敏感信息配置帐号密码接口信息 数据库 短信 云应用等配置 工具使用JDumpSpider提取器https://github.com/whwlsfb/JDumpSpider/releases java -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump 工具使用jvisualvm分析器 安装jdk自带文件搜索获取
如D:\jdk1.8.0_112\bin\jvisualvm.exe测试安装:JDK1.8_112
下载JDKhttp://www.itmop.com/downinfo/136203.html其他利用见下文 https://blog.csdn.net/drnrrwfs/article/details/125242990 分析得到有一些组件不安全的组件如log4j
#SpringBoot-接口系统-Swagger
Swagger是当下比较流行的实时接口文文档生成工具。接口文档是当前前后端分离项目中必不可少的工具在前后端开发之前后端要先出接口文档前端根据接口文档来进行项目的开发双方开发结束后在进行联调测试。 参考https://blog.csdn.net/lsqingfeng/article/details/123678701
1、创建项目引入依赖 --2.9.2版本--
dependency
groupIdio.springfox/groupId
artifactIdspringfox-swagger2/artifactId
version2.9.2/version
/dependency
dependency
groupIdio.springfox/groupId
artifactIdspringfox-swagger-ui/artifactId
version2.9.2/version
/dependency--3.0.0版本--
dependency
groupIdio.springfox/groupId
artifactIdspringfox-boot-starter/artifactId
version3.0.0/version
/dependency2、配置访问 application.properties # 设置路径匹配策略为Ant路径匹配器
spring.mvc.pathmatch.matching-strategyant-path-matcherapplication.yml spring:mvc:pathmatch:# 设置路径匹配策略为Ant路径匹配器matching-strategy: ant_path_matcher注意事项 2.X版本启动需要注释**EnableSwagger2** 3.X版本不需注释写的话是**EnableOpenApi** 2.X访问路径http://ip:port**/swagger-ui.html** 3.X访问路径http://ip:port**/swagger-ui/index.html** 3、安全问题
自动化测试Postman 泄漏应用接口用户登录信息显示上传文件等 可用于对未授权访问信息泄漏文件上传等安全漏洞的测试.
打开postman打开工作台在左侧找到API打开API导入生成的swagger页面提供的APIhttp://127.0.0.1:8080/v3/api-docs导入成功后点击Api Documentation点击右侧的运行勾选想要测试的接口执行即可
