【039-安全开发篇】JavaEE应用SpringBoot框架Actuator监控泄漏Swagger自动化

思维导图

知识点：

1、JavaEE-SpringBoot-监控系统-Actuator
2、JavaEE-SpringBoot-接口系统-Swagger
3、JavaEE-SpringBoot-监控&接口&安全问题

章节点

3、Java：
功能：数据库操作，文件操作，序列化数据，身份验证，框架开发，第三方组件使用等.
框架库：MyBatis，SpringMVC，SpringBoot，Shiro，Log4j，FastJson等
技术：Servlet，Listen，Filter，Interceptor，JWT，AOP，反射机制待补充
安全：SQL注入，RCE执行，反序列化，脆弱验证，未授权访问，待补充
安全：原生开发安全，第三方框架安全，第三方组件安全等，架构分析，待补充

演示案例：

SpringBoot-监控系统-Actuator SpringBoot-接口系统-Swagger 安全案例-JVM泄漏&接口自动化

SpringBoot-监控系统-Actuator

SpringBoot Actuator模块提供了生产级别的功能，比如健康检查，审计，指标收集，HTTP跟踪等，帮助我们监控和管理Spring Boot应用。

• 开发使用：
  1、引入依赖
  
  org.springframework.boot
  spring-boot-starter-actuator
  
  2、配置监控

#暴露#application.propertiesmanagement.endpoints.web.exposure.include=*#application.ymlmanagement: endpoints: web: exposure: include:'*'#安全配置：#application.propertiesmanagement.endpoint.env.enabled=false management.endpoint.heapdump.enabled=false#application.ymlmanagement: endpoint: heapdump: enabled:false#启用接口关闭env: enabled:false#启用接口关闭

2、图像化Server&Client端界面
Server：引入Server依赖-开启（@EnableAdminServer）
Client：引入Client依赖-配置（连接目标，显示配置等）

图形化界面3、安全问题

• heapdump泄漏（会有源代码的信息）

jvisualvm分析器

JDumpSpider提取器（可下载）

把配置信息都显示出来了（开放的端口号和管理员的账号密码等等）

分析提取出敏感信息（配置帐号密码，接口信息 数据库 短信 云应用等配置）

• 其他利用见下文
  https://blog.csdn.net/drnrrwfs/article/details/125242990
  分析得到有一些组件（不安全的组件，如log4j）

安全写法：false两个

SpringBoot-接口系统-Swagger

Swagger是当下比较流行的实时接口文文档生成工具。接口文档是当前前后端分离项目中必不可少的工具，在前后端开发之前，后端要先出接口文档，前端根据接口文档来进行项目的开发，双方开发结束后在进行联调测试。（如果你对某个网站做安全测试，不能知道有什么接口（只能乱测），有了swagger能知道更全面，如果接口里面有敏感信息，那就算是中低威漏洞）
参考：https://blog.csdn.net/lsqingfeng/article/details/123678701

• 开发使用
  1、引入依赖

<--2.9.2版本--><dependency><groupId>io.springfox</groupId><artifactId>springfox-swagger2</artifactId><version>2.9.2</version></dependency><dependency><groupId>io.springfox</groupId><artifactId>springfox-swagger-ui</artifactId><version>2.9.2</version></dependency><--3.0.0版本--><dependency><groupId>io.springfox</groupId><artifactId>springfox-boot-starter</artifactId><version>3.0.0</version></dependency>

2、配置访问

#application.propertiesspring.mvc.pathmatch.matching-strategy=ant-path-matcher#application.ymlspring mvc: pathmatch: matching-strategy: ant_path_matcher

配置备注：
2.X版本启动需要注释@EnableSwagger2
3.X版本不需注释，写的话是@EnableOpenApi
2.X访问路径：http://ip:port/swagger-ui.html
3.X访问路径：http://ip:port/swagger-ui/index.html

3、安全问题
自动化测试：Postman
泄漏应用接口：用户登录，信息显示，上传文件等
可用于对未授权访问，信息泄漏，文件上传等安全漏洞的测试.

配置这样配，然后勾选保存响应，运行api即可

时间戳（新增）

可精准空降视频，需要直接点击，或者拖动，

1. 文档简述—— 00:00:00
2. 演示案例：SpringBoot-监控系统-Actuator—— 00:02:24
3. 演示案例：JavaEE-SpringBoot-接口系统-Swagger——00:42:00
4. 演示案例：安全案例-JVM泄漏&接口自动化（没有特定的讲）

碎碎念

新增时间戳模块，更好的让同学们更好的看小迪一起定位。