1. 介紹

Spring Boot Actuator 是一個(gè)用于監(jiān)控和管理 Spring Boot 應(yīng)用程序的功能模塊。它提供了一系列生產(chǎn)就緒的功能，幫助你了解應(yīng)用程序的運(yùn)行狀況，以及在運(yùn)行時(shí)對(duì)應(yīng)用程序進(jìn)行調(diào)整。Actuator 使用了 Spring MVC 來(lái)暴露各種 HTTP 或 JMX 端點(diǎn)，通過(guò)這些端點(diǎn)你可以獲取到應(yīng)用程序的運(yùn)行信息，如健康狀態(tài)、指標(biāo)、線程 dump、環(huán)境變量等。

Spring Boot Actuator 的主要特性包括：

1. 健康檢查：可以檢查應(yīng)用程序的運(yùn)行狀況，包括數(shù)據(jù)庫(kù)連接、磁盤(pán)空間、服務(wù)狀態(tài)等。
2. 指標(biāo)收集：收集應(yīng)用程序的性能指標(biāo)，如內(nèi)存使用情況、處理器使用情況、HTTP 請(qǐng)求計(jì)數(shù)等。
3. HTTP 端點(diǎn)：暴露了一系列的 HTTP 端點(diǎn)，通過(guò)這些端點(diǎn)可以訪問(wèn)應(yīng)用程序的運(yùn)行信息。
4. 日志管理：可以動(dòng)態(tài)地修改應(yīng)用程序的日志級(jí)別。
5. 跟蹤和應(yīng)用信息：提供了對(duì)應(yīng)用程序的跟蹤信息和應(yīng)用信息的訪問(wèn)。
6. 線程轉(zhuǎn)儲(chǔ)：可以獲取應(yīng)用程序的線程轉(zhuǎn)儲(chǔ)信息，幫助診斷性能問(wèn)題。
7. 環(huán)境信息：可以查看應(yīng)用程序的配置屬性和環(huán)境變量。
8. 映射信息：可以查看 Spring MVC 的映射信息。
9. 審計(jì)事件：可以訪問(wèn)應(yīng)用程序的審計(jì)事件信息。
   要啟用 Spring Boot Actuator，你需要在項(xiàng)目中包含相應(yīng)的依賴(lài)，然后在配置文件中配置相關(guān)的屬性。Spring Boot 2.x 版本中，Actuator 的默認(rèn)端點(diǎn)是通過(guò) HTTP 公開(kāi)的，但是出于安全考慮，除了 /health 和 /info 端點(diǎn)之外，其他端點(diǎn)默認(rèn)是不對(duì)外暴露的。你可以通過(guò)配置文件來(lái)開(kāi)啟這些端點(diǎn)，并設(shè)置是否需要認(rèn)證訪問(wèn)。
   Spring Boot Actuator 是開(kāi)發(fā)

2. 問(wèn)題描述

<!-- SpringBoot Actuator -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-actuator</artifactId>
</dependency>

當(dāng)我們的項(xiàng)目只是引入了 actuator 模塊時(shí)，默認(rèn)只公開(kāi)了幾個(gè)接口，如：
訪問(wèn)http://localhost:9200/actuator

有些情況下，我們需要將服務(wù)的健康信息上報(bào)給安全監(jiān)控服務(wù)，則需要將接口打開(kāi)

# 暴露監(jiān)控端點(diǎn)
management:
  endpoints:
    web:
      exposure:
        include: '*'

此時(shí)，再次訪問(wèn)http://localhost:9200/actuator

也可以訪問(wèn)具體的屬性http://localhost:9200/actuator/env

我們發(fā)現(xiàn)這個(gè)時(shí)候就會(huì)暴露很多服務(wù)信息，安全性得不到保證。

3. 解決方案

3.1 springboot1.x

3.1.1 禁用所有端口

#關(guān)閉全部接口
endpoints.enabled = false

###只開(kāi)啟某些接口
#endpoints.beans.enabled = true
#endpoints.env.enabled = true
#endpoints.trace.enabled = true
#endpoints.metrics.enabled = true

3.1.2 安全框架控制

引入依賴(lài)

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

配置輸入賬號(hào)密碼驗(yàn)證后才允許訪問(wèn)

management.security.enabled=true
security.user.name=admin
security.user.password=admin

3.2 springboot2.x

3.2.1 禁用所有端口

management.endpoints.enabled-by-default: false

3.2.2 安全框架控制

引入依賴(lài)

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

配置輸入賬號(hào)密碼驗(yàn)證后才允許訪問(wèn)

spring.security.user.name=actuator
spring.security.user.password=actuator

添加配置類(lèi)

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
/**
 * Actuator 監(jiān)控端點(diǎn)權(quán)限
 *
 */
@Configuration
public class ActuatorSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
        http.httpBasic().and()
                .authorizeRequests()
                    .antMatchers("/actuator/**")
                        .authenticated()
                    .anyRequest()
                        .permitAll();
        http
// 關(guān)閉csrf token認(rèn)證不需要csrf防護(hù)
            .csrf().disable()
// 關(guān)閉Session會(huì)話(huà)管理器 JWT 不需要
            .sessionManagement().disable()
// 關(guān)閉記住我功能 JWT 不需要
            .rememberMe().disable();
    }
}

4.總結(jié)

以上就是SpringBoot Actuator未授權(quán)訪問(wèn)漏洞的排查和解決方法的詳細(xì)內(nèi)容，更多關(guān)于SpringBoot Actuator訪問(wèn)漏洞的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

最新評(píng)論