Swagger简介swagger包括三部分: Swagger Editor(基于浏览器的编辑器),Swagger UI(可以让我们通过浏览器来查看并操作Rest API,Swagger Codegen。Swagger接口相关注解说明1.@Api:可设置对控制器的描述2. @ApiOperation:: 可设置对接口的描述3 .@ApiIgnore: Swagger 文档不会显示拥有该注解的接口。4
转载
2024-08-29 11:25:39
323阅读
一、SpringBoot env 获取* 敏感信息 当我们直接访问 springboot 站点时,可以看到某些 password 字段填充了*通过${name} 可以获取明文字段 2. 配置不当导致敏感信息泄露(password 打星号,而 pwd 没有打星号)
具体实现过程:例如: 我们要获取 pid 参数值"PID": "10648",POST
背景2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。一、漏洞描述 二、漏洞危害等级
转载
2024-03-19 23:43:15
144阅读
一、SpringBoot
ActuatorSpringBoot Actuator是SpringBoot项目中的一个监控机制,用于提供了一系列对SpringBoot项目的状态监控,有助于监控项目上线后的运行状态、组件状态等。这些监控项称之为端点(endpoint),可以通过API接口进行访问,但是配置不当可能出现敏感信息泄露,导致一系列严重的后果。二、环境搭建1、SpringBoot:2.3.2.R
原创
精选
2024-07-21 14:12:16
1845阅读
关于Spring Boot Actuator漏洞补救方案Spring Boot Actuator漏洞自查处理漏洞 Spring Boot ActuatorSpring Boot Actuator 提供了项目的健康检查,审计,指标收集,HTTP 跟踪等,是帮助项目监控和管理Spring Boot 应用的模块。
这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信
转载
2024-02-22 23:47:55
90阅读
1. 为什么要实现动态的获取 antMatchers 配置的数据 这两天由于公司项目的需求,对 spring security 的应用过程中需要实现动态的获取 antMatchers ,permitAll , hasAnyRole , hasIpAdd
为了更好地实现对项目的管理,我们将组内一个项目迁移到MDP框架(基于Spring Boot),随后我们就发现系统会频繁报出Swap区域使用量过高的异常。笔者被叫去帮忙查看原因,发现配置了4G堆内内存,但是实际使用的物理内存竟然高达7G,确实不正常。JVM参数配置是“-XX:MetaspaceSize=256M -XX:MaxMetaspaceSize=256M -XX:+AlwaysPreTouc
转载
2024-03-18 10:05:53
557阅读
基本用户认证和授权/adminweb.xml添加一个新的过滤器来实现的,如 代码清单 1 所示。 清单 1. 在 web.xml 中添加 Spring Security 的过滤器 <filter>
<filter-name>springSecurityFilterChain</filter-name>
<filte
一、说明 HeapDump文件是JVM虚拟机运行时内存的一个快照,通常用于性能分析等,但是因为其保存了对象、类等相关的信息,如果被泄露也会造成信息泄露。有多种方式可以获取到HeapDump信息,如使用jmap、jconsole可以主动获取到信息,在JAVA开发中引入Spring Actuator后,如果配置不当可以通过前台访问下载HeapDum
推荐
原创
2022-07-24 17:01:44
10000+阅读
【漏洞公告】Spring 框架及组件多个安全漏洞2018年5月8日,阿里云云盾应急响应中心监测到Spring官方发布3个严重,2个高危漏洞,漏洞涉及Spring Messaging组件,Spring Security框架,Spring Data 框架等多个模块,攻击者可利用该漏洞实施远程代码执行攻击,DoS,绕过安全限制获取敏感信息。漏洞详情见下文漏洞编号CVE-2018-1257CVE-2018
转载
2024-04-30 20:55:37
65阅读
0x00 前言在查资料的时候突然发现真的好卷,新漏洞出来没多久,各个大佬就已经写好了分析文章,由于这个漏洞排查产品中不存在,所以就一直犯懒没有去看,终归还是要补回来的。文章若有言语不妥之处还请见谅。概述还是先了解一下Spring Cloud Gateway是个啥,使用Spring Cloud Gateway的主要目的是为了取代Netflix Zuul,二者最大的差异实际上就是性能问题。Netfli
一、大背景 最近做的自动化测试平台需要进行重构,将原有的系统拆分成几个独立的子系统,我负责用户系统的开发,同时需要兼容老系统,我的头希望我采用spring security来进行权限控制和管理。有以下几个问题需要解决: 1、如何兼容已有的老的权限体系。 2、用户系统登录之后,如何将认证信息同步到其它子系统。二、调研还是按照惯例了解一下spring security到底是什么东西,基本的原理到
本文介绍的是RSA加密算法+Spring Security在SpringMVC中的集成使用。Spring Security是什么? 引用: Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转In
前言
spring 中aop是一个核心概念,spring boot 是如何实现自动化配置的?现在我们就来分析一下
转载
2019-08-09 17:42:00
133阅读
2评论
前言
spring boot 的自动化配置其实就是在spring 的基础上做的封装,在我们之前对mvc,aop的自动化配置中可以发现–> 只是在spring 的基础上添加了一些特性,可以认为只是一个spring的应用.那么,关于transaction的配置也同样.
转载
2019-08-09 17:39:00
246阅读
2评论
前言
接下来的几篇文章我们来分析一下spring-boot-actuator 中在org.springframework.boot.actuate.metrics中的代码,
转载
2019-08-09 17:37:00
211阅读
2评论
一、接口开关功能 1、可配置化,依赖配置中心 2、接口访问权限可控 3、springmvc不会扫描到,即不会直接的将接口暴露出去二、接口开关使用场景 和业务没什么关系,主要方便查询系统中的一些状态信息。比如系统的配置信息,中间件的状态信息。这就需要写一些特定的接口,不能对外直接暴露出去(即不能被springmvc扫描到,不能被swagger扫描到)。三、SimpleUrlHandlerMa
转载
2024-06-27 20:37:40
594阅读
在日常项目中,除了开发过程比较重要以外,实际上运维过程也尤为重要。而Spring Boot 也为我们考虑到了这一点,它为我们提供了Actuator这一组件,帮助我们监控、管理应用程序。正如官网中所说的那样,它可以通过很小的动作产生巨大的变化一起来探索一下~一 原理01. 什么是ActuatorSpring Boot Actuator,可在您将应用程序投入生产时帮助您监控和管理应用程序。分别支持HT
转载
2024-07-26 09:24:02
161阅读
前言之前的几篇文章分析了spring boot 中有关endpoint的实现,细心的朋友可以发现,在org.springframework.boot.actuate.endpoint.mvc 包下也有一系列的xxxEndpoint,这又是为什么呢?原因是: 我们很多情况下,都是访问接口的方式获取应用的监控,之前的分析是其实现的底层,要想实现通过接口访问,还需要对其进行包装一番,org.spring
转载
2024-10-30 10:33:33
13阅读
最初的想法是通过在实体类的getter方法操作,让它从数据库返回值过后运用自己的脱敏策略重新赋值不过这种方法有弊端,如果在后端还要使用值的话,拿到的值不是数据库的真是的数据,所以只能在springmvc返回前端的时候操作(如果从数据库后获取值不操作的话,可以直接在getter方法上面写)下面采用自定义注解和拦截器的方式引入fastjson依赖<!-- fastjson -->
<
