jenchoi413's blog

原文URL： https://jenchoi.top/2025/springboot-actuator-unauthorized-access Actuator介绍Spring Boot Actuator 是一个用于监控和管理 Spring Boot 应用的库，提供了多种端点（endpoints）来查看应用的运行状态、健康检查、指标、日志等信息，适用于生产环境监控和故障排查。 主要功能： 健康检查（Health）：/actuator/health 显示应用健康状态，如数据库、缓存等组件的可用性。 应用指标（Metrics）：/actuator/metrics 提供 CPU、内存、GC、请求统计等信息。 环境信息（Env）：/actuator/env 显示应用环境变量和配置属性。 日志管理（Loggers）：/actuator/loggers 允许动态调整日志级别。 线程 Dump（Thread Dump）：/actuator/threaddump 获取当前 JVM 线程信息。 HTTP 请求追踪（HttpTrace）：/actuator/httptrace 记录最近的 HTTP 请求 ...

漏洞信息CWE编号：CWE-476空指针解引用，NULL Pointer Dereference 概念解析刚开始我看到这个缺陷也是一脸懵，实际查资料之后才发现：哦！原来就是这玩意儿啊！在搞清楚啥叫空指针解引用之前，我们应该明确组成这个词的2个基本概念所代表的含义：1、空指针（Null Pointer）Java不能直接操作指针，其数据类型可以分为基本类型（byte、short、int、long、float、double、char、boolean）和引用类型，基础类型直接存储实际的值，引用类型存储的是对象的引用，而不是对象本身，相当于C/C++中的指针。在Java中，我们可以将空指针简单理解引用的对象不存在，返回地址为null 2、解引用这是理解这个缺陷的最大障碍，很多人因为分不清楚引用（Reference） 和 解引用（Dereference） 的区别，导致对此缺陷不理解。我们通过一个例子简单说明二者的区别 12345// 引用String str = "Hello, World!";// 解引用System.out.println(str.length() ...

Timeline5月初，开始了解PMP考试相关信息；5.11日，经同事推荐报了培训班，完成缴费；6.18日，培训班问我是否参加8.31日的考试，感觉还有两个多月的时间，觉得可冲；7月，学习10天共11h6min。这个时间里面还含有水分的，我总是一边学习一边做其他事情，这导致我的进度非常慢，慢到我觉得还是延考好了； 7.9日，报名8.31号考试。 7.25日，办理延迟考试到11.30日。因为每天都不想学习，1天打鱼1个月晒网，两个月了一章都没学完；8月，学习1天共48min。办理了延考，离考试时间还很长，玩的心安理得……9月，学习7天共7h48min。离考试时间还很长，玩的心安理得……10月，学习7天共9h52min。 国庆节回家躺着，去厦门玩，无心学习； 10.13日，只看了1/3的视频课不到，感觉再不学真的来不及了，我的五千多块钱要打水漂了，五千多我都可以出去旅游一趟了…..出于舍不得我的血汗钱，我又开始备考了； 10.14日晚制定计划：在18号出发海南前把剩下的2/3课程全部水完； 10.18日，最后花了约8h完成了上述计划；11月，学习13天共27h54mi ...

背景之前在Freenom上白嫖了 jenchoi.tk 这个域名， 用了差不多将近一年，主要写了些技术博客，把博客放在简历里，一切似乎风平浪静。 最近入职了新公司，好些时间没有管我的博客了，前些天通过域名访问的时候，突然发现访问不了了。起初我以为是手机没有挂梯子，有时候访问不到GitHub也很正常（博客托管在GitHub上），当时并没有在意。后面Vercel也多次发邮件告诉我域名有问题，我就上GitHub的发布页面看了下，发现也提示有问题，我就猜到，这个白嫖的域名应该是G了。后面又看到Freenom的一些新闻，确信域名是没了。。。至于是被回收了还是怎么的，我也不太清楚了，后面我尝试过几次，想重新去Freenom把域名注册回来，结果Freenom的网站访问奇慢，根本用不了，不管挂梯子与否，都差不多，于是我放弃了。 白嫖的域名失效以后，我意识到，白嫖的东西存在很大的不稳定性。后面我就一直在想：要不要买一个域名？ 要不要买域名？买域名必定要花钱，只不过是花钱多少的问题。 But, 我的问题就是不愿意花钱！就说搭个博客吧，用的GitHub Pages + Freenom白嫖的域名。嫌图床贵，又 ...

我与游戏关于端游上小学的时候，酷爱打游戏，下课网桌子上一坐，就开始和同学讨论游戏，什么飞车、洛克王国、炫舞、TNT、泡泡堂，玩的不亦乐乎，3366小游戏基本被我玩了个遍，都被我玩倒闭了（手动狗头），4399和7k7k现在还活着呢。那时候家里有电脑，一天净是折腾这些玩意，还因此被班主任教训了一顿。 那时候都是网页游戏，也有要下客户端的，但我玩的都是网页游戏。初二的时候，电脑被爸妈搬到厂里办公室去了，家里到厂里虽然不远，但是每天吃了晚饭走到厂里，没玩一会，就要回家睡觉了，第二天还得上学，就这么折腾了一周之后，我觉得太累了，之后，我就不这么折腾了。 从那之后，我就几乎告别了端游。 关于手游关于手游，小时候用按键手机玩推箱子、贪吃蛇、连连看这些游戏，那是很久远的事情了。 后来就是智能手机刚问世那会，我爸爸买了一台，那时候我用他的手机玩过摩托车游戏，那时候觉得新奇，控制摩托车不需要通过左右按键了，而是直接左右摇晃手机就行。现在我知道那是通过传感器来实现的，当时觉得牛逼坏了。 后面腾讯游戏开始搞手游了，天天酷跑应该算是首当其冲，那时候天天借叔叔他们的手机来玩这个游戏，因为我自己没有手机，叔叔他们也 ...

8fa9860978f8b6e1e0631820e9e59b36181498ae61c2c3db78987fa2c54fb4eea4bf8ac14dccff6a350f2ded4be964a3c55f1a205957cef72a25c5dbc1adb92a45e93c07bb9d02527bada6f81ab29557a064e1da452c43eb180dc40efd5c75fc5e47e1e7db85467d7e392cce8058fa800d4b0bbc3ab9938e908a10fd5ce6d6dbc0414769412046c9279836ea7763513e70781135413a45947f5958a8ee5b188b71ccd367a5f2af709a3533bb545bdd517c93fa9811e30309ba5de56ef0bab2ad28726c34f79e3dafa846bc25c37130eee6e857faf31ef3de8eedc358f335fa69ce9e0d5b24af52bcfa74d9859b21f173ddcdb26bd941a3dd8 ...

2023.7.1日 开此篇博客是为了记录自己准备软考的过程，比如： 软考相关信息收集 备考笔记 一些碎碎念（想看我哔哔赖赖的请移步本文【碎碎念】part） 希望2023年能顺利考下这个证书。 关于软考-信息安全工程师1、什么是软考？软考既是职业资格考试，又是职称资格考试，同时，还具有水平考试性质，是目前国内最具权威的计算机类考试，含金量最高，涉及面最广。 2、有哪些岗位参考软考官网 https://www.ruankao.org.cn/platform 3、科目怎么选？ 不建议考初级，软考可以越级考试 根据工作来选考试科目 含金量1、职称评定。以考代评，通过即为中级职称。2、积分落户。3、抵扣个税。4、升职加薪。5、领取政府现金补贴。技能提升拿证后，即可申请领取补贴。6、企业招投标加分。 考试形式初级和中级都是考两门： 基础知识（选择题：单选75题） 应用技术（问答题：4-6题） 高级考三门： 综合知识（选择题：单选75题） 案例分析（问答题：3题） 论文（2700字左右） 考试科目1、网络信息安全基础知识和技术 150分钟（上午 9:00-11:30） 综合知识 ...

有apk包手机查看方法： 那肯定是用万能的MT管理器，哈哈哈哈哈 找到对应的apk包，点击查看，打开AndroidManifest文件（反编译），搜索 package=，后面的就是包名 电脑获取方法： 和手机步骤一样，只不过要用APKTool来反编译 apkTool反编译，查看AndroidManifest文件，搜索 package=，后面的就是包名 已安装，无apk包无root方法一： 列出手机内所有apk对应的包名，一个个看 1adb shell pm list package 方法二： 需要先打开应用，再执行命令（不推荐，输出一大堆，看的眼花缭乱） 12# 列出所有包名adb shell dumpsys activity 已root/data/data 目录下有所有的安装包名 可以用adb切到该目录之后ls，也可以用MT管理器查看 推荐MT管理器查看，因为它会带一个应用的icon，adb比较难找 参考文章 1、获取APK包名的几种方法 - 简书 2、爬虫 - 安卓逆向 05 app包名的获取 - 个人文章 - SegmentFault 思否

安卓APP的渗透测试，主要分为两个方面 客户端：安卓四大组件的安全性检测，简单来说就是一个个的检查项，看看是否符合要求 服务端：APP和服务端交互的渗透测试，抓包检测，和Web渗透差不多 本篇我们主要介绍Android客户端的渗透测试，重点放在：要测哪些项目，怎么测上面。我会一条条的列出相应的测试项，并给出在我认知内最简便的方法（如果大佬们有更好的方法，欢迎邮件与我讨论），供自己及其他同行参考。 检测工具 dex2jar APKTool jd-gui：Releases · java-decompiler/jd-gui 应用配置安全开启AllowBackup属性漏洞等级：高 风险分析：被测应用的AndroidManifest.xml文件中allowBackup属性值被设置为true，可通过adb backup对应用数据进行备份，在无root的情况下可以导出应用中存储的所有数据，造成用户数据泄露。 检查工具：APKTool 检查方法： 1、使用APKTool对apk进行反编译（后续不再详述此步骤） 把要反编译的apk复制到APKTool目录下，cmd切到APKTool的 ...

drozer这玩意真的是难装啊，之前第一次弄的时候装了两个下午，网上的教程写的乱七八糟的，每次要翻好多篇文章，所以干脆借此次给新电脑装drozer的机会，记录整理一下安装过程，以供后续参考。 环境依赖请自行安装以下环境，并配置好环境变量，安装pip包。这里比较简单，就不做赘述了 python 2.7 pip2 install protobuf pyOpenSSL Twisted service_identity jdk 1.6 官方推荐的，使用其他版本可能会有问题 adb 安装步骤下载drozer下载链接：https://github.com/mwrlabs/drozer/releases/ 选择系统相应的包，我这里选windows的msi安装包 安装drozer 双击安装 默认install for all user Python from another location，下方输入python2.7的安装路径 完成安装 运行drozercmd中输入 drozer -h 如果出现drozer的帮助文档，那drozer这边就没问题了 如果出现以下报错，则是pyt ...