Spring Boot Actuator to…

Spring Boot Actuator to narzędzie które pozwala nam na monitorowanie naszej aplikacji napisanej w #spring.
Dzisiaj w #od0dopentestera nieco inne spojrzenie na ten mechanizm.

W standardowej konfiguracji z poziomu interfejsu webowego dostępne są endpointy health oraz info.
Wygodny programista może jednak użyć gwiazdki – aby udostępnić na stronie wszystkie funkcjonalności.
Pod niektórymi adresami możemy odnaleźć ciekawe informacje.

Często używamy zmiennych środowiskowych i to właśnie w nich przechowujemy jakieś tajne dane – na przykład klucze API.
Odwiedzając endpoint env – możemy otrzymać listę zmiennych widocznych dla naszej aplikacji.

Innym niedocenianym adresem jest heapdump – który zwraca zrzut pamięci naszego procesu.
Jeżeli przechowujesz jakieś tajne informacje w zmiennych statycznych – można je tutaj łatwo odnaleźć.
Do przeglądania tego pliku warto użyć zewnętrznego narzędzia, na przykład Eclipse Memory Analyzer.

httptrace wyświetla listę kilkunastu ostatnich żądań do serwera.
Oprócz adresów widnieje tam również kompletna lista nagłówków wysyłanych przez klientów – razem z ciasteczkami użytkownika.
A te można wykorzystać do zalogowania się do aplikacji jako inna osoba.

Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.

#java #security #bezpieczenstwo #programowanie #programista15k #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu