ثغرة Spring Boot Actuator وربح 55 ألف دولار

حابب أشارك معاك بوست سريع لكن تقيل 👀
ثغرة ممكن تكون قدامك حرفيًا وانت بتعمل Pentest أو Bug Bounty
واسمها: Spring Boot Actuator Misconfiguration

الثغرة دي ساعات بتبقى منجم دهب 💎
خصوصًا لما المبرمج يسيب Actuator مفتوح للشارع من غير أي حماية.

يعني إيه Spring Boot Actuator؟ 🤔​

الـ Actuator في Spring Boot معمول أصلاً علشان:

• Monitoring
• Health Checks
• Metrics
• Debugging

المشكلة بقا لما يتساب مفتوح في Production 😬 ساعتها الهنتر بيشوف الدنيا كلها قدامه.

---

الهنترز بيبدوا ازاي؟ 🔍​

أي Bug Hunter شاطر بيبدأ يدور على مسارات مشهورة زي:

/actuator
/actuator/health

لو السيرفر رد بـ 200 OK ✅ يبقى كده الباب اتفتح… ويبدأ يجرب باقي الـ Endpoints.

---

الخدعة الخطيرة: Heapdump ☠️​

هنا بقا المصيبة الكبيرة 👇
كتير من المبرمجين بيبقوا عاملين Redact يعني مخبيين الـ Secrets في Endpoint زي:

/actuator/env

فتفتكر إن الدنيا أمان… بس ينسى مصيبة اسمها Heapdump 😈

---

ليه Heapdump خطر جدًا؟ 💥​

Endpoint زي ده:

/actuator/heapdump

بيعمل الآتي:

• 📦 ينزلك ملف حوالي 100 ميجا
• 🧠 الملف ده Snapshot من RAM
• 🔑جواه:
  • Auth Tokens
  • API Keys
  • Session IDs
  • Secrets
  • بيانات حساسة لحظية

يعني أي محاولة إخفاء في /env ملهاش أي لازمة ❌ لأن كل حاجة موجودة في الذاكرة أصلاً.

---

تريك خطير لتخطي WAF 🚧​

في حالات كتير:

• الـ WAF بيمنع /actuator/heapdump
• بس السيرفر نفسه قابل المسار

هنا بقا في حركة صياعة 😏 وهي URL Encoding
مثال: /actuator/heapdump%23
🔹 %23 = #
🔹 بعض الـ WAFs بتتلخبط
🔹 الريكويست يعدي
🔹 السيرفر ينفذ عادي جدًا
والنتيجة؟ 💣 Heapdump كامل بينزل!

---

سيناريو استغلال واقعي 🧪​

1️⃣ تلاقي /actuator/health شغال
2️⃣ تجرب باقي الـ paths
3️⃣ تلاقي /heapdump مقفول
4️⃣ تستخدم Encoding
5️⃣ تنزل Heap
6️⃣ تطلع Secrets
7️⃣ Privilege Escalation
8️⃣ Report محترم 💰

---

الخلاصة المهمة 🎯​

لو شغال:

• 🐞 Bug Bounty
• 🔐 Pentesting
• 🛡️ Application Security

ماتكتفيش بـ Health Check ❌ وجرّب:

• كل Actuator Paths
• Encoding
• Bypass tricks

ثغرة بسيطة بس ممكن تعمل فرق حياة 😎