Spring Boot heapdump泄露内存分析方法

一、查看加密星号信息（适用于数据库密码、ftp、ssh）

1.首先访问地址：http://url/actuator/env

出现一些配置信息，搜索带有******

可以看到ftp的ip,username,password

2.接着访问http://url/actuator/heapdump

下载下来heapdump文件
使用java自带的工具进行分析
位置：C:\Program Files\Java\jdk1.8.0_91\bin\jvisualvm.exe
装入，文件类型选择堆文件

通过前面的/env知道存在abs.sftp.password和xxl.job.accessToken字段
就可以构建OQL查询语句

select s from java.lang.String s where /abs.sftp.password/.test(s.value.toString())

abs.sftp.password为字段名
同理也可以写成
select s from java.lang.String s where /xxl.job.accessToken/.test(s.value.toString())

进入实例里面，即可找到带星的明文信息