随笔分类 -  Spring

摘要:Spring Cloud Config Server 目录遍历漏洞(CVE-2020-5410) 概述 较旧的不受支持的版本允许应用程序通过 spring-cloud-config-server 模块提供任意配置文件 影响范围 2.1.x<Spring Cloud Config版本 <2.2.x 目 阅读全文
posted @ 2022-02-15 21:43 LinkPoc 阅读(631) 评论(0) 推荐(0) 编辑
摘要:Swagger接口泄露(脱敏获取密码) 概述: 访问 /env 接口时,spring actuator 会将一些带有敏感关键词(如 password、secret)的属性名对应的属性值用 * 号替换达到脱敏的效果 利用条件: 可正常 GET 请求目标 /heapdump 或 /actuator/he 阅读全文
posted @ 2022-02-13 12:56 LinkPoc 阅读(1783) 评论(1) 推荐(0) 编辑
摘要:#Actuator Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块, 但如果没有做好相关权限控制, 非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。 字典 /autoconfig /configprops /beans / 阅读全文
posted @ 2022-01-24 10:09 LinkPoc 阅读(2362) 评论(0) 推荐(0) 编辑
摘要:转载 原项目地址:https://github.com/LandGrey/SpringBootVulExploit Spring Boot介绍 Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化Spring应用初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而 阅读全文
posted @ 2022-01-11 15:26 LinkPoc 阅读(954) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示