阿里有个很牛的工具Arthas,可以用来查看监控jvm中变量的值。但是我又个安全疑问:
但是我有个疑问想请教下:如果一台机器上的tomcat已经在运行了,假设这台机器还没有安装arthas,这时我用wget下载这个jar并安装启动,这时就能查看tomcat jvm变量中的值了,不用重启tomcat是吗?如果可以的话,这样有没有安全隐患呢?例如:一个hacker能在host上执行命令,那么hacker可以download这个arthas并运行之,然后来查看程序jvm中可能的敏感信息,如果系统用到的各种key是明文在memeory中的,那么hacker可以读取key并传给自己,毕竟泄漏这些key是比搞挂一台server严重很多的问题。
我感觉Arthas不要用到产线。
TODO:自己动手做下测试。
标签:hacker,jvm,tomcat,阿里,key,Arthas,疑问 From: https://www.cnblogs.com/saaspeter/p/17087742.html