发表新帖
发表新帖

通过spring-boot漏洞获取heapdump文件,读取数据库账号密码获取数据库数据,获得服务器文件信息

Blade 未结
关注 举报
1 94
xiaomin
xiaomin 剑者 2025-04-28 10:28
悬赏:10

一、该问题的重现步骤是什么?

1.  /api/blade-system/actuator/

2.  /api/blade-system/actuator/heapdump

 下载该文件可以读取账号密码等敏感信息

 获取到oracle数据库的账号密码

3.


二、你期待的结果是什么?实际看到的又是什么?


三、你正在使用的是什么产品,什么版本?在什么操作系统上?


四、请提供详细的错误堆栈信息,这很重要。

image.png

1745807251753.png

五、若有更多详细信息,请在下面提供。

1条回答
  • admin - BladeX作者
    2025-04-28 11:05

    三年前就有方案提供:https://sns.bladex.cn/article-15004.html

    如果不配置nginx,你可以使用bladex4.4以后的版本,java底层进行了控制。

    0 讨论(0)
 看不清?
提交回复
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方新品
BladeX 物联网开发平台
热议问题
【高】用户名/账户可以枚举(1处) 1
使用服务订阅功能订阅其他系统的设备消息 2
物联网平台设备下线 1
登录认证失败,前后端都配置了publickKey,并且publicKey和privateKey是同一套 1
sprinboot分支的代码里面,redis技术能不能去掉 1
新的代码生成里面的可视化表单不能使用分组 1
client_id 和client_secret 在客户端登录使用时放在 header 里面,只进行 base64 加密会不会不太安全。 1
组态模版图片加载不出来 1
使用refresh_token时,发现是一个未来时间的token,导致报错,不明原因,jwt理论上生效时间应该是当前时间吧 1
设备请求数据 1
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2025 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号