插件安装
需要先安装并配置java环境,然后在burpsuite中安装apikit插件
工具扫描
1)在Burp Suite中抓取请求:你将在Burp Suite中的`Proxy`标签的`HTTP history`中看到所有通过代理发送的请求。
2)使用APIkit进行测试:在Burp Suite中,发送想要测试的请求选择**Do Auto API scan**来发起一次主动扫描。
3)查看和分析结果:
结果分析
在PowerShell中使用命令:
Invoke-WebRequest -Uri http://your-server/actuator/heapdump -OutFile heapdump.hprof
(将 `your-server` 替换为你服务器的实际地址。 `-OutFile` 参数指定了文件下载的位置和名称,不输入路径,就下载到当前执行命令的目录下)
在cmd窗口中使用java -jar heapdump_tool.jar heapdump.hprof
进入后:
1)选择模式,输入0
2)输入查询方式,如 password
3)结果中显示有password的值则密码泄露
标签:SpringBoot,访问,API,heapdump,Burp,Suite,授权 From: https://www.cnblogs.com/zhwy524/p/18140593