介绍
HeapDump敏感信息提取工具

在日常得渗透测试工作中，经常遇到spring actuator未授权漏洞，而且在实际过程中也常常会下载到heapdump这个文件。了解过这个文件的人知道，Heap Dump也叫堆转储文件，是一个Java进程在某个时间点上的内存快照。Heap Dump是有着多种类型的。不过总体上heap dump在触发快照的时候都保存了java对象和类的信息。通常在写heap dump文件前会触发一次FullGC，所以heap dump文件中保存的是FullGC后留下的对象信息。

我们可以通过Heap Dump做哪些事情？
一般在渗透测试中我们会通过工具对泄露的heapdump文件进行分析，查询加载到内存中的明文密码信息,比如redis密码,mysql数据库账号和密码。

项目地址
https://github.com/whwlsfb/JDumpSpider

java -jar JDumpSpider-1.0-SNAPSHOT-full.jar heapdump