ثغرة Spring Boot Actuator وربح 55 ألف دولار

حابب أشارك معاك بوست سريع لكن تقيل
ثغرة ممكن تكون قدامك حرفيًا وانت بتعمل Pentest أو Bug Bounty
واسمها: Spring Boot Actuator Misconfiguration

الثغرة دي ساعات بتبقى منجم دهب
خصوصًا لما المبرمج يسيب Actuator مفتوح للشارع من غير أي حماية.

يعني إيه Spring Boot Actuator؟ ​

الـ Actuator في Spring Boot معمول أصلاً علشان:

• Monitoring
• Health Checks
• Metrics
• Debugging

المشكلة بقا لما يتساب مفتوح في Production ساعتها الهنتر بيشوف الدنيا كلها قدامه.

---

​

الهنترز بيبدوا ازاي؟ ​

أي Bug Hunter شاطر بيبدأ يدور على مسارات مشهورة زي:

/actuator
/actuator/health

لو السيرفر رد بـ 200 OK يبقى كده الباب اتفتح… ويبدأ يجرب باقي الـ Endpoints.

---

​

الخدعة الخطيرة: Heapdump ​

هنا بقا المصيبة الكبيرة
كتير من المبرمجين بيبقوا عاملين Redact يعني مخبيين الـ Secrets في Endpoint زي:

/actuator/env

فتفتكر إن الدنيا أمان… بس ينسى مصيبة اسمها Heapdump

---

​

ليه Heapdump خطر جدًا؟ ​

Endpoint زي ده:

/actuator/heapdump

بيعمل الآتي:

• ينزلك ملف حوالي 100 ميجا
• الملف ده Snapshot من RAM
• جواه:
  • Auth Tokens
  • API Keys
  • Session IDs
  • Secrets
  • بيانات حساسة لحظية

يعني أي محاولة إخفاء في /env ملهاش أي لازمة لأن كل حاجة موجودة في الذاكرة أصلاً.

---

​

تريك خطير لتخطي WAF ​

في حالات كتير:

• الـ WAF بيمنع /actuator/heapdump
• بس السيرفر نفسه قابل المسار

هنا بقا في حركة صياعة وهي URL Encoding
مثال: /actuator/heapdump%23
%23 = #
بعض الـ WAFs بتتلخبط
الريكويست يعدي
السيرفر ينفذ عادي جدًا
والنتيجة؟ Heapdump كامل بينزل!

---

​

سيناريو استغلال واقعي ​

تلاقي /actuator/health شغال
تجرب باقي الـ paths
تلاقي /heapdump مقفول
تستخدم Encoding
تنزل Heap
تطلع Secrets
Privilege Escalation
Report محترم

---

​

الخلاصة المهمة ​

لو شغال:

• Bug Bounty
• Pentesting
• Application Security

ماتكتفيش بـ Health Check وجرّب:

• كل Actuator Paths
• Encoding
• Bypass tricks

ثغرة بسيطة بس ممكن تعمل فرق حياة