【039-安全开发篇】JavaEE应用&SpringBoot框架&Actuator监控泄漏&Swagger自动化

学网安的肆伍2025-12-18 8:31

思维导图

知识点:

1、JavaEE-SpringBoot-监控系统-Actuator

2、JavaEE-SpringBoot-接口系统-Swagger

3、JavaEE-SpringBoot-监控&接口&安全问题

章节点

3、Java:

功能:数据库操作,文件操作,序列化数据,身份验证,框架开发,第三方组件使用等.

框架库:MyBatis,SpringMVC,SpringBoot,Shiro,Log4j,FastJson等

技术:Servlet,Listen,Filter,Interceptor,JWT,AOP,反射机制待补充

安全:SQL注入,RCE执行,反序列化,脆弱验证,未授权访问,待补充

安全:原生开发安全,第三方框架安全,第三方组件安全等,架构分析,待补充

演示案例:

复制代码 
SpringBoot-监控系统-Actuator
SpringBoot-接口系统-Swagger
安全案例-JVM泄漏&接口自动化

SpringBoot-监控系统-Actuator

SpringBoot Actuator模块提供了生产级别的功能,比如健康检查,审计,指标收集,HTTP跟踪等,帮助我们监控和管理Spring Boot应用。

  • 开发使用:
    1、引入依赖

    org.springframework.boot
    spring-boot-starter-actuator

    2、配置监控

bash 复制代码 
#暴露
#application.properties
management.endpoints.web.exposure.include=*

#application.yml
management:
  endpoints:
    web:
      exposure:
        include: '*'

#安全配置:
#application.properties
management.endpoint.env.enabled=false
management.endpoint.heapdump.enabled=false

#application.yml
management:
    endpoint:
        heapdump:
            enabled: false #启用接口关闭
    env:
        enabled: false #启用接口关闭

2、图像化Server&Client端界面

Server:引入Server依赖-开启(@EnableAdminServer)

Client:引入Client依赖-配置(连接目标,显示配置等)

图形化界面3、安全问题

  • heapdump泄漏(会有源代码的信息)

jvisualvm分析器

JDumpSpider提取器(可下载)

把配置信息都显示出来了(开放的端口号和管理员的账号密码等等)

分析提取出敏感信息(配置帐号密码,接口信息 数据库 短信 云应用等配置)

安全写法:false两个

SpringBoot-接口系统-Swagger

Swagger是当下比较流行的实时接口文文档生成工具。接口文档是当前前后端分离项目中必不可少的工具,在前后端开发之前,后端要先出接口文档,前端根据接口文档来进行项目的开发,双方开发结束后在进行联调测试。(如果你对某个网站做安全测试,不能知道有什么接口(只能乱测),有了swagger能知道更全面,如果接口里面有敏感信息,那就算是中低威漏洞)

参考:https://blog.csdn.net/lsqingfeng/article/details/123678701

  • 开发使用
    1、引入依赖
java 复制代码 
<--2.9.2版本-->
<dependency>
    <groupId>io.springfox</groupId>
    <artifactId>springfox-swagger2</artifactId>
    <version>2.9.2</version>
</dependency>
<dependency>
    <groupId>io.springfox</groupId>
    <artifactId>springfox-swagger-ui</artifactId>
    <version>2.9.2</version>
</dependency>

<--3.0.0版本-->
<dependency>
  <groupId>io.springfox</groupId>
  <artifactId>springfox-boot-starter</artifactId>
  <version>3.0.0</version>
</dependency>

2、配置访问

bash 复制代码 
#application.properties
spring.mvc.pathmatch.matching-strategy=ant-path-matcher

#application.yml
spring
  mvc:
    pathmatch:
      matching-strategy: ant_path_matcher

配置备注:

2.X版本启动需要注释@EnableSwagger2

3.X版本不需注释,写的话是@EnableOpenApi

2.X访问路径:http://ip:port/swagger-ui.html

3.X访问路径:http://ip:port/swagger-ui/index.html

3、安全问题

自动化测试:Postman

泄漏应用接口:用户登录,信息显示,上传文件等

可用于对未授权访问,信息泄漏,文件上传等安全漏洞的测试.

配置这样配,然后勾选保存响应,运行api即可


时间戳(新增)

可精准空降视频,需要直接点击,或者拖动,

  1. 文档简述 ------ 00:00:00
  2. 演示案例:SpringBoot-监控系统-Actuator ------ 00:02:24
  3. 演示案例:JavaEE-SpringBoot-接口系统-Swagger ------00:42:00
  4. 演示案例:安全案例-JVM泄漏&接口自动化(没有特定的讲)

碎碎念

新增时间戳模块,更好的让同学们更好的看小迪一起定位。

相关推荐
洋洋技术笔记2 小时前
Spring Boot Web MVC配置详解
spring boot·后端
用户9623779544817 小时前
DVWA 靶场实验报告 (High Level)
安全
初次攀爬者20 小时前
Kafka 基础介绍
spring boot·kafka·消息队列
数据智能老司机20 小时前
用于进攻性网络安全的智能体 AI——在 n8n 中构建你的第一个 AI 工作流
人工智能·安全·agent
用户83071968408220 小时前
spring ai alibaba + nacos +mcp 实现mcp服务负载均衡调用实战
spring boot·spring·mcp
数据智能老司机20 小时前
用于进攻性网络安全的智能体 AI——智能体 AI 入门
人工智能·安全·agent
Java水解1 天前
SpringBoot3全栈开发实战:从入门到精通的完整指南
spring boot·后端
用户962377954481 天前
DVWA 靶场实验报告 (Medium Level)
安全
red1giant_star1 天前
S2-067 漏洞复现:Struts2 S2-067 文件上传路径穿越漏洞
安全
用户962377954481 天前
DVWA Weak Session IDs High 的 Cookie dvwaSession 为什么刷新不出来?
安全
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services05OpenClaw优化飞书API 额度已耗尽问题06Window 10部署openclaw报错node.exe : npm error code 12807Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤08小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)09OpenClaw大龙虾机器人完整安装教程10【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆