发表新帖
发表新帖

通过spring-boot漏洞获取heapdump文件,读取数据库账号密码获取数据库数据,获得服务器文件信息

Blade 未结
关注 举报
1 97
xiaomin
xiaomin 剑者 2025-04-28 10:28
悬赏:10

一、该问题的重现步骤是什么?

1.  /api/blade-system/actuator/

2.  /api/blade-system/actuator/heapdump

 下载该文件可以读取账号密码等敏感信息

 获取到oracle数据库的账号密码

3.


二、你期待的结果是什么?实际看到的又是什么?


三、你正在使用的是什么产品,什么版本?在什么操作系统上?


四、请提供详细的错误堆栈信息,这很重要。

image.png

1745807251753.png

五、若有更多详细信息,请在下面提供。

1条回答
  • admin - BladeX作者
    2025-04-28 11:05

    三年前就有方案提供:https://sns.bladex.cn/article-15004.html

    如果不配置nginx,你可以使用bladex4.4以后的版本,java底层进行了控制。

    0 讨论(0)
代码语言
 看不清?
提交回复
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方新品
BladeX 物联网开发平台
热议问题
多租户数据隔离,系统表不会自动切换到主数据上 1
微服务之间调用时接口放行问题 1
麻烦发一份物联网cloud版本的logback_prod.xml配置文档 1
BladeX V2.6.* 项目,MySQL换成达梦数据库,应该怎么做? 1
支持DB2数据库连接? 1
blade-workflow-boot不是maven项目 1
外链登录 1
分库​多租户调用接口问题 2
表单设计右侧的字段配置,全局配置可以通过自定义修改吗 1
swagger访问不了 1
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2025 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号