欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

SpringBoot Actuator未授權(quán)訪問漏洞修復(fù)詳解

 更新時(shí)間:2022年08月25日 14:41:57   作者:llsydn  
這篇文章主要介紹了SpringBoot Actuator未授權(quán)訪問漏洞修復(fù)詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪

1.寫在前面

目前SpringBoot得框架,越來越廣泛,大多數(shù)中小型企業(yè),在開發(fā)新項(xiàng)目得時(shí)候。后端語言使用java得情況下,首選都會(huì)使用到SpringBoot。

在很多得一些開源得框架中,例如: ruoyi若以,這些。

不知道是出于什么原因?我們都會(huì)在這些框架中得pom文件中找到SpringBoot Actuator的依賴。

嘿,這Actuator估計(jì)很多人都沒有真真實(shí)實(shí)使用過,但是就會(huì)出現(xiàn)在pom文件中;這樣導(dǎo)致,在做一些安全漏洞測試的時(shí)候,會(huì)出現(xiàn)漏洞問題。

例如下面:

對(duì)于這些漏洞,我們開始修復(fù)嘍!??!

2.問題描述

Actuator是Springboot提供的用來對(duì)應(yīng)用系統(tǒng)進(jìn)行自省和監(jiān)控的功能模塊,借助于Actuator開發(fā)者可以很方便地對(duì)應(yīng)用系統(tǒng)某些監(jiān)控指標(biāo)進(jìn)行查看、統(tǒng)計(jì)等。

Actuator 的核心是端點(diǎn) Endpoint,它用來監(jiān)視應(yīng)用程序及交互,spring-boot-actuator 中已經(jīng)內(nèi)置了非常多的Endpoint(health、info、beans、metrics、httptrace、shutdown等等),同時(shí)也允許我們自己擴(kuò)展自己的Endpoints。

每個(gè) Endpoint 都可以啟用和禁用。要遠(yuǎn)程訪問 Endpoint,還必須通過 JMX 或 HTTP 進(jìn)行暴露,大部分應(yīng)用選擇HTTP。

好了,Actuator看起來還是挺好的,可以用來監(jiān)控。不過大部分企業(yè),估計(jì)都沒咋用過,也就享受不到Actuator的好處了。

Actuator在帶來方便的同時(shí),如果沒有管理好,會(huì)導(dǎo)致一些敏感的信息泄露;可能會(huì)導(dǎo)致我們的服務(wù)器,被暴露到外網(wǎng),服務(wù)器可能會(huì)淪陷。那我們來看一下,會(huì)出現(xiàn)什么安全的問題?

3.安全問題

例如,我們可以訪問:

http://localhost:7200/actuator/env

看到上面的信息了嗎?哇,我們居然能看到數(shù)據(jù)庫連接地址,賬號(hào)密碼等信息。

這些地址如果不加以控制,對(duì)于一些有技術(shù)基礎(chǔ)的人員來說,這不得是一個(gè)很嚴(yán)重的漏洞?估計(jì)是t0級(jí)別的漏洞了。

對(duì)于這些,我們要如何進(jìn)行控制呢?

4.禁止方法

在 llsydn-dev.properties 增加配置如下

management.endpoints.web.exposure.exclude=env,heapdump,threaddump,mappings

這樣 env 就被禁止訪問了。

然后我們再來訪問一下比如:

好了,可以看到訪問就出現(xiàn)404了,表示已經(jīng)禁了。

5.完全禁用Actuator

對(duì)于上面的修改,其實(shí)已經(jīng)可以實(shí)現(xiàn)禁止了env的方法,也就基本上都能控制到相應(yīng)的接口信息,基本上也能做到了安全。

但是在做等保安全漏洞掃描的時(shí)候,還是會(huì)掃出來響應(yīng)的漏洞,那其實(shí),還是沒有解決掉這個(gè)漏洞。那我們能不能完全禁止Actuator呢?

答案,肯定是可以的!??!

例如下面這個(gè)配置:

# 完全禁用actuator
management.server.port=-1

這樣配,等保做安全漏洞掃描,就不會(huì)掃描出該漏洞了?。?!

嘿,再也不用擔(dān)心Actuator漏洞問題!??!

以上就是SpringBoot Actuator未授權(quán)訪問漏洞修復(fù)詳解的詳細(xì)內(nèi)容,更多關(guān)于SpringBoot Actuator 漏洞修復(fù)的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章!

相關(guān)文章

  • Spring Boot Admin實(shí)踐詳解

    Spring Boot Admin實(shí)踐詳解

    在本篇文章里小編給大家整理了關(guān)于Spring Boot Admin實(shí)踐的相關(guān)知識(shí)點(diǎn),有需要的朋友們可以學(xué)習(xí)下。
    2019-12-12
  • springboot整合mybatis plus與druid詳情

    springboot整合mybatis plus與druid詳情

    這篇文章主要介紹了springboot整合mybatis plus與druid詳情,文章圍繞主題展開詳細(xì)的內(nèi)容介紹,具有一定的參考價(jià)值,需要的下伙伴可以參考一下
    2022-09-09
  • JAVA中調(diào)用C語言函數(shù)的實(shí)現(xiàn)方式

    JAVA中調(diào)用C語言函數(shù)的實(shí)現(xiàn)方式

    這篇文章主要介紹了JAVA中調(diào)用C語言函數(shù)的實(shí)現(xiàn)方式,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2023-08-08
  • java ssm框架的controller實(shí)現(xiàn)向頁面?zhèn)鬟f參數(shù)

    java ssm框架的controller實(shí)現(xiàn)向頁面?zhèn)鬟f參數(shù)

    這篇文章主要介紹了java ssm框架的controller實(shí)現(xiàn)向頁面?zhèn)鬟f參數(shù),具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2022-05-05
  • IDEA全局查找關(guān)鍵字的用法解讀

    IDEA全局查找關(guān)鍵字的用法解讀

    這篇文章主要介紹了IDEA全局查找關(guān)鍵字的用法解讀,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2023-02-02
  • Java集合之Map接口與實(shí)現(xiàn)類詳解

    Java集合之Map接口與實(shí)現(xiàn)類詳解

    這篇文章主要為大家詳細(xì)介紹了Java集合中的Map接口與實(shí)現(xiàn)類,文中的示例代碼講解詳細(xì),對(duì)我們學(xué)習(xí)Java有一定的幫助,感興趣的可以了解一下
    2022-12-12
  • 關(guān)于Maven混合配置私有倉庫和公共倉庫的問題

    關(guān)于Maven混合配置私有倉庫和公共倉庫的問題

    這篇文章主要介紹了Maven混合配置私有倉庫和公共倉庫,通過實(shí)例代碼詳細(xì)介紹了私有和公共倉庫混合配置的方法,需要的朋友可以參考下
    2022-06-06
  • java中Arrays.sort()排序方法舉例詳解

    java中Arrays.sort()排序方法舉例詳解

    這篇文章主要給大家介紹了關(guān)于java中Arrays.sort()排序方法舉例詳解的相關(guān)資料,Java?Arrays.sort()方法對(duì)數(shù)組進(jìn)行排序,通常情況下直接傳入數(shù)組,默認(rèn)升序排序,文中通過代碼介紹的非常詳細(xì),需要的朋友可以參考下
    2023-11-11
  • 學(xué)習(xí)Java之如何對(duì)時(shí)間進(jìn)行格式化

    學(xué)習(xí)Java之如何對(duì)時(shí)間進(jìn)行格式化

    當(dāng)我們在默認(rèn)情況下構(gòu)造出來的時(shí)間對(duì)象,它的時(shí)間格式并不適合我們閱讀,并且在開發(fā)時(shí),pc端、Android端、iOS端等展示的時(shí)間格式可能也并不完全一樣,本文就從這幾個(gè)問題給大家介紹如何對(duì)時(shí)間進(jìn)行格式化,感興趣的同學(xué)可以借鑒一下
    2023-05-05
  • 學(xué)習(xí)SpringBoot容器功能及注解原理

    學(xué)習(xí)SpringBoot容器功能及注解原理

    這篇文章主要介紹了學(xué)習(xí)SpringBoot容器功能及注解原理,文中通過詳細(xì)的代碼示例對(duì)SpringBoot容器功能及注解原理進(jìn)行了解析,有需要的朋友可以借鑒參考下
    2021-09-09

最新評(píng)論