关键信息 漏洞名称 NutzBoot Web3j API 泄露钱包密码 影响产品 NutzBoot (Web3j starter + demo module) 漏洞类型 敏感信息泄露/凭证泄露 漏洞详情 问题类型: 敏感信息泄露/凭证泄露 根本原因: 函数直接以 JSON 形式返回注入的 对象,而未对 字段进行保护。 影响: 任何对 端点有网络访问权限的人可以下载所有本地配置的 Ethereum 地址及其钱包密码,从而导致密钥被盗或未经授权签名。 漏洞位置 GET 复现步骤 1. 使用至少一个通过 配置的账户启动 demo Web3j 应用。 2. 不进行身份验证,请求本地账户端点: 3. 观察 JSON 响应包含每个配置账户的明文密码和地址。 建议修复 1. 从 API 响应中取消 (或其他秘密),使用 DTO 消除敏感字段,或扩展 属性包含 。 2. 通过身份验证/授权,并在生产构建中完全禁用 。 3. 将钱包密钥存储在安全的密钥保管库中,而不是嵌入配置文件中,这些密钥将通过序列化泄露到内存中。