Actuator依赖项简介
Actuator这个依赖是进行应用监控的主要是监控应用的健康,相关类运行情况,环境等 同时这个还有图形化的项目
依赖项配置
新建项目的时候多勾选一个
如果对方的项目属性文件是这样的
# Actuator Web 访é®ç«¯å£
management.server.port=8081
management.endpoints.jmx.exposure.include=*
#这个是查看jmx下暴露的端点
management.endpoints.web.exposure.include=*
#web页面下暴露的端点
management.endpoint.health.show-details=always
#端点显示情况
# åºç¨æå¡ WEB 访é®ç«¯å£
server.port=8080运行查看
这些就是 jmx(java监控的项目类型)
我们可以访问一下
最有安全问题的就是堆储存点(一般情况不会开启,开启之后就会泄漏一下关键key等问题)
会帮我们下载一个文件
这个需要使用专门的分析工具进行分析(下面会有练习)
我们是可以控制这个端点的展示的
或者直接修改展示信息
动态Gui模式的配置(这个更安全)
原理:让监控方位服务器,应用方为客户端
这个的优势就是远程的调控,链接远程需要进行身份验证,所以比上面这个静态的安全很多,但是安全问题就是身份信息的泄漏
项目差异:
就是各配置服务端和客户端
客户端接口的配置
服务端需要进行端口的配置 防止冲突问题
服务端一个重要点配置:
就是这个 需要开启一个服务应用
注意点原理就是客户端吧接口给服务端,所以我们配置双方的端口必须是一样的
结果如上
一般情况下都是需要账号密码
这个可以收集一下这个java的框架是否有危险的类,然后进行利用
HeapDump安全问题
搭建只需要在原来的基础上加上几个 数据库的框架如(Jdbc,mondb等)
这些是数据库连接的key,只要是数据都会进入堆
所以这个实验的目的就是为了加深HeadDump的利用
找到堆储存下载
使用工具 :
JDumpSpider提取器:https://github.com/whwlsfb/JDumpSpider
heapdump_tool提取器:https://github.com/wyzxxz/heapdump_tool使用第一个工具:
使用方法直接不用参数后边加这个提取出的文件即可
使用半自动的工具 :
