第39天:安全开发-JavaEE应用&SpringBoot框架&Actuator监控泄漏&Swagger自动化

SpringBoot Actuator模块提供了生产级别的功能,比如健康检查,审计,指标收集,HTTP跟踪等,帮助我们监控和管理Spring Boot应用。

第39天:安全开发-JavaEE应用&SpringBoot框架&Actuator监控泄漏&Swagger自动化

SpringBoot-监控系统-Actuator

image-20250806205750837

创建一个新项目。

引入依赖,当创建项目时未选择 actuator 依赖时,可在配置文件 pom.xml 中自行引入

1
2
3
4
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-actuator</artifactId>
</dependency>

image-20250806221920173

这个选项参数是暴露所有节点参数的,里面包含了计算机本地的一些环境信息,其中比较敏感的信息就是:

1
2
3
4
/actuator/env 和 /actuator/heapdump

http://localhost:8080/actuator/env
http://localhost:8080/actuator/heapdump

image-20250806222153512

image-20250806222210452

这个heapdump就是一些内存信息。

分析heapdump的工具:

1
2
3
4
https://github.com/whwlsfb/JDumpSpider

用法:java -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump
就是直接跟上heapdump的路径就行。

image-20250806222521432

这里因为我是一个空项目,所以这里没有什么敏感的信息,一般这里敏感的点,一个是数据库的账号密码,或者一些系统的账号密码,还有一个就是oos的key信息。

1
敏感信息:(配置帐号密码,接口信息 数据库 短信 云应用等配置)

还有一个图形化,没有弄成功:

image-20250806225624754

SpringBoot-接口系统-Swagger

Swagger是当下比较流行的实时接口文文档生成工具。接口文档是当前前后端分离项目中必不可少的工具,在前后端开发之前,后端要先出接口文档,前端根据接口文档来进行项目的开发,双方开发结束后在进行联调测试。

image-20250806230335523

安全案例-JVM 泄漏&接口自动化

image-20250806232448109