SpringBoot Actuator未授權(quán)訪問漏洞修復(fù)詳解
1.寫在前面
目前SpringBoot得框架,越來越廣泛,大多數(shù)中小型企業(yè),在開發(fā)新項目得時候。后端語言使用java得情況下,首選都會使用到SpringBoot。
在很多得一些開源得框架中,例如: ruoyi若以,這些。
不知道是出于什么原因?我們都會在這些框架中得pom文件中找到SpringBoot Actuator
的依賴。
嘿,這Actuator
估計很多人都沒有真真實實使用過,但是就會出現(xiàn)在pom文件中;這樣導(dǎo)致,在做一些安全漏洞測試的時候,會出現(xiàn)漏洞問題。
例如下面:
對于這些漏洞,我們開始修復(fù)嘍?。?!
2.問題描述
Actuator
是Springboot提供的用來對應(yīng)用系統(tǒng)進行自省和監(jiān)控的功能模塊,借助于Actuator開發(fā)者可以很方便地對應(yīng)用系統(tǒng)某些監(jiān)控指標進行查看、統(tǒng)計等。
Actuator 的核心是端點 Endpoint,它用來監(jiān)視應(yīng)用程序及交互,spring-boot-actuator 中已經(jīng)內(nèi)置了非常多的Endpoint(health、info、beans、metrics、httptrace、shutdown等等),同時也允許我們自己擴展自己的Endpoints。
每個 Endpoint 都可以啟用和禁用。要遠程訪問 Endpoint,還必須通過 JMX 或 HTTP 進行暴露,大部分應(yīng)用選擇HTTP。
好了,Actuator
看起來還是挺好的,可以用來監(jiān)控。不過大部分企業(yè),估計都沒咋用過,也就享受不到Actuator
的好處了。
Actuator
在帶來方便的同時,如果沒有管理好,會導(dǎo)致一些敏感的信息泄露;可能會導(dǎo)致我們的服務(wù)器,被暴露到外網(wǎng),服務(wù)器可能會淪陷。那我們來看一下,會出現(xiàn)什么安全的問題?
3.安全問題
例如,我們可以訪問:
http://localhost:7200/actuator/env
看到上面的信息了嗎?哇,我們居然能看到數(shù)據(jù)庫連接地址,賬號密碼等信息。
這些地址如果不加以控制,對于一些有技術(shù)基礎(chǔ)的人員來說,這不得是一個很嚴重的漏洞?估計是t0級別的漏洞了。
對于這些,我們要如何進行控制呢?
4.禁止方法
在 llsydn-dev.properties
增加配置如下
management.endpoints.web.exposure.exclude=env,heapdump,threaddump,mappings
這樣 env 就被禁止訪問了。
然后我們再來訪問一下比如:
好了,可以看到訪問就出現(xiàn)404了,表示已經(jīng)禁了。
5.完全禁用Actuator
對于上面的修改,其實已經(jīng)可以實現(xiàn)禁止了env的方法,也就基本上都能控制到相應(yīng)的接口信息,基本上也能做到了安全。
但是在做等保安全漏洞掃描的時候,還是會掃出來響應(yīng)的漏洞,那其實,還是沒有解決掉這個漏洞。那我們能不能完全禁止Actuator
呢?
答案,肯定是可以的!?。?/p>
例如下面這個配置:
# 完全禁用actuator management.server.port=-1
這樣配,等保做安全漏洞掃描,就不會掃描出該漏洞了?。?!
嘿,再也不用擔心Actuator
漏洞問題?。?!
以上就是SpringBoot Actuator未授權(quán)訪問漏洞修復(fù)詳解的詳細內(nèi)容,更多關(guān)于SpringBoot Actuator 漏洞修復(fù)的資料請關(guān)注腳本之家其它相關(guān)文章!
- SpringBoot應(yīng)用監(jiān)控Actuator使用隱患及解決方案
- SpringBoot+actuator和admin-UI實現(xiàn)監(jiān)控中心方式
- SpringBoot Actuator未授權(quán)訪問漏洞的排查和解決方法
- Spring Boot Actuator未授權(quán)訪問漏洞的問題解決
- SpringBoot中的Actuator詳解
- SpringBoot Actuator未授權(quán)訪問漏洞解決方案
- 關(guān)于SpringBoot Actuator漏洞補救方案
- SpringBoot監(jiān)控模塊Actuator的用法詳解
- Spring Boot Actuator入門指南
相關(guān)文章
springboot整合mybatis plus與druid詳情
這篇文章主要介紹了springboot整合mybatis plus與druid詳情,文章圍繞主題展開詳細的內(nèi)容介紹,具有一定的參考價值,需要的下伙伴可以參考一下2022-09-09JAVA中調(diào)用C語言函數(shù)的實現(xiàn)方式
這篇文章主要介紹了JAVA中調(diào)用C語言函數(shù)的實現(xiàn)方式,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教2023-08-08java ssm框架的controller實現(xiàn)向頁面?zhèn)鬟f參數(shù)
這篇文章主要介紹了java ssm框架的controller實現(xiàn)向頁面?zhèn)鬟f參數(shù),具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教2022-05-05學(xué)習(xí)SpringBoot容器功能及注解原理
這篇文章主要介紹了學(xué)習(xí)SpringBoot容器功能及注解原理,文中通過詳細的代碼示例對SpringBoot容器功能及注解原理進行了解析,有需要的朋友可以借鑒參考下2021-09-09