springboot actuator env信息泄漏

简介

Spring Boot Actuator是Spring Boot提供的一个功能强大的管理和监控工具，可以帮助开发人员实时监控和管理应用程序。其中/env端点（endpoint）用于获取应用程序的环境变量信息，环境变量可能包含敏感数据，如数据库凭证、API密钥、密码等。如果该端点暴露在公共网络或未经授权的访问者之下，可能导致/env信息泄漏问题。

备注

大多数情况下，环境变量中的密码密钥等都是默认用星号隐藏的，可参考Spring Boot Vulnerability Exploit Check List获取隐藏的密码。

比较推荐直接使用heapdump接口去dump内存然后获取密码，因为没有安全意识的开发env和heapdump都是同时泄漏的。


挖掘

目录扫描，查看是否存在相关的文件。


然后查看是否存在敏感信息，比如我这个就很幸运的就发现redis密码没有打码。