Spring Actuator信息泄露HeapDump

推荐原创

HeapDump文件是JVM虚拟机运行时内存的一个快照，通常用于性能分析等，但是因为其保存了对象、类等相关的信息，如果被泄露也会造成信息泄露。有多种方式可以获取到HeapDump信息，如使用jmap、jconsole可以主动获取到信息，在JAVA开发中引入Spring Actuator后，如果配置不当可以通过前台访问下载HeapDump文件，从而导致信息泄露。

（一）如下在POM.XML文件中引入的依赖：

<dependency>

<groupId>org.springframework.boot</groupId>

<artifactId>spring-boot-starter-actuator</artifactId>

</dependency>

（二）在application.properties或者application.yml文件中开启heapdump端点的监控：

Spring Actuator信息泄露HeapDump_Java VisualVM

（三）如果采用的springsecurity，在拦截这里放行了/actuator相关的资源：

Spring Actuator信息泄露HeapDump_actuator/heapdump_02

如果是其他拦截或者过滤的可以看看是否进行了有效的拦截过滤。

三、测试访问

（一） http://127.0.0.1:8088/actuator/ 查看泄露的端点信息

Spring Actuator信息泄露HeapDump_actuator/heapdump_03

（二）127.0.0.1:8088/actuator/heapdump 下载heapdump文件，泄露JAVA堆dump信息：

Spring Actuator信息泄露HeapDump_Java VisualVM_04

四、查看HeapDump文件中保存的密码

（一）有多种方式可以查看HeapDump文件，常见的如Memory Analyzer工具以及在安装了JDK6U7及以上版本会自动安装的Java VisualVM工具，这里使用Java VisualVM，路径在jdk1.8.0_271\bin目录，找到jvisualvm.exe打开Java VisualVM: