当你发现你的服务器actuator服务暴露后

原创 已于 2024-02-24 20:55:50 修改 · 753 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维

于 2024-02-24 20:46:26 首次发布
本文讨论了在服务器中防止Actuator暴露的策略,包括自定义屏蔽的误区,如何通过安全测试验证修复效果,以及事后的密码更新和全面安全评估。

文章目录


当你的服务器发现actuator暴露之后,是在将来被安全机构测试发现漏洞再甩你一脸的机会?还是彻底终结这一风险?建议你立即采取行动。网上有很多博客分享,但是偏向于远离实战,以下是来自我的实战经验的分享希望能在你需要的时候帮到什么:

1. 自定义屏蔽的误区

后端常常会定义自己的屏蔽字符串进行特定路径的管控
以下为一个常见的误区:
/actuator/**
实际上这么做带来的后果是会被绕过的可能
/./actuator/
是的你没看错,由于web URL服务器处理的复杂性,经常会有很多“惊喜”,彻底屏蔽一个目录将会带来挑战。
除了你使用官方的actuator安全配置外,如果你打算自定义禁止路径那么可以考虑以下的方式:
/**/actuator/**同样的你的防火墙也可以检查这个字符串以进行屏蔽。

2. 如何更充分的验证你的修复成果?

让我们直接上安全测试用例:
是的,这是我实际的测试用例,我不会尝试其他内容,或者故弄玄虚告诉你还有更多可能。
在这里插入图片描述

需要注意的情况就是是否携带TOKEN需要分2次来测试。

3. 事后处理

请及时更新WEB服务商的密码、密钥。

很遗憾,当你发现Actuator被暴露到公网时,你要意识到这个问题可能已经存在一段时间。虽然可能没有完整的访问记录,但密码和密钥可能已经泄露。除了更换Web应用的密钥外,建议你重新评估其他可能受影响的组件,如在线运行的公司邮箱、nacos、ES以及mysql连接等。为确保安全,及时更新这些组件的密码是非常必要的。这是很多修复文章可能没有提到的一点,但它同样至关重要。

希望你在抗衡这个漏洞的过程中玩的愉快~

Actuator内存泄露及利用&Swagger未授权&自动化测试实现
qq_46081990的博客
12-20 4168
本文主要介绍了Actuator和Swagger的未授权访问导致的漏洞利用。Actuator提供了一系列端点用于监控和管理Spring Boot应用程序,但配置不当可能导致敏感信息泄露。Swagger是一个方便开发人员进行接口开发和测试的工具,可用于自动化接口漏洞安全测试。使用Postman、BurpSuite和Xray进行工具联动,自动化测试Swagger接口,可大大提升效率。
如何在Spring Boot中禁用Actuator端点安全性?
Blue92120的博客
09-20 3403
在Spring Boot中,禁用Actuator端点的安全性可以通过配置来实现。Actuator端点是Spring Boot应用程序的管理和监控端点,它们默认受到Spring Security的保护。
完全禁用 Actuator 功能
sondx的专栏
05-22 1774
在Spring Boot中,尝试通过设置management.endpoints.enabled-by-default: false来禁用所有Actuator端点,但发现/actuator路径仍可访问。
Actuator端点暴露危机:为什么你的自定义接口可能正在被非法调用?
最新发布
PixelFlow的博客
11-17 1028
掌握Spring Boot Actuator自定义端点权限配置,避免敏感接口暴露。详解如何通过安全配置限定端点访问,结合Spring Security实现角色控制,保障生产环境安全。适用微服务监控场景,提升系统防护能力,值得收藏。
actuator字符绕过漏洞在Nginx和apisix上的配置
09-13 1306
最近遇到了安全部门派发的actuator泄漏漏洞,领导希望不暴露到外网上,对于内网需要认证才可以访问。要想不暴露到外网上,就需要在网络层面做拦截,比如nginx和apisix上做代理配置。一般的情况都可以应对,就是对于http://xxx/actuator;%2f…/字符绕过这种情况,一直没有解决方案。
SpringBoot Actuator API接口信息泄露
cnzzs的博客
07-21 1048
一、SpringBoot ActuatorSpringBoot Actuator是SpringBoot项目中的一个监控机制,用于提供了一系列对SpringBoot项目的状态监控,有助于监控项目上线后的运行状态、组件状态等。这些监控项称之为端点(endpoint),可以通过API接口进行访问,但是配置不当可能出现敏感信息泄露...
可造成敏感信息泄露!Spring Boot之Actuator信息泄露漏洞三种利用方式总结
热门推荐
WangsuSecurity的博客
08-02 1万+
如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患。其中heapdump作为Actuator组件最为危险的Web端点,因未授权访问被恶意人员获取后进行分析,可进一步获取敏感信息。
21、微服务架构中的服务发现与边缘服务器配置
flower的专栏
06-27 44
本文介绍了在微服务架构中使用 Netflix Eureka 实现服务发现以及使用 Spring Cloud Gateway 作为边缘服务器的实践方法。内容涵盖服务发现测试、边缘服务器配置、路由规则设置、健康检查实现以及系统测试验证等方面。通过具体的命令示例和配置代码,展示了如何构建一个健壮、有弹性的微服务系统,并对未来的性能优化、安全增强和扩展性提升进行了展望。
21、微服务架构中的服务发现与边缘服务器实践
jwt8token的博客
07-12 57
本文详细介绍了在微服务架构中使用Netflix Eureka进行服务发现以及使用Spring Cloud Gateway作为边缘服务器的方法。通过一系列测试和配置,展示了服务发现的自愈能力、边缘服务器的路由规则设置、复合健康检查的实现等内容。同时探讨了系统的可扩展性、安全性及优化方向,并总结了常见问题的解决方案。希望为微服务架构的实践提供有价值的参考。
spring boot admin demo 源码 java 服务器 监控
01-15
你可以通过查看 `Application.java` 文件来了解如何启动和配置服务器及客户端,同时查阅其他相关类以理解如何暴露监控端点。 6. **实际应用**:在生产环境中,Spring Boot Admin 可以帮助团队监控多个分布式系统的...
21、微服务中的服务发现与边缘服务器搭建
gin88的博客
07-12 46
本文介绍了在微服务架构中使用 Netflix Eureka 实现服务发现,并通过 Spring Cloud Gateway 搭建边缘服务器进行请求路由和管理。内容包括服务发现测试、Eureka 服务器的启动与验证、Spring Cloud Gateway 的配置方式,以及如何使用 Predicates 和 Filters 实现灵活的路由规则。通过实际操作和示例代码,展示了如何构建一个弹性、可扩展的微服务系统。
Spring Boot Actuator敏感信息泄露漏洞
希望能找到你的答案
05-20 3812
Spring Boot Actuator 提供生产级别的功能,比如监控、追踪、控制,审计,指标收集等,帮助监控和管理Spring Boot 应用。Spring Boot Actuator敏感信息泄露漏洞,比如访问URL: http://xx.xx.xx.xx/actuator/env ,可获取到环境配置信息。
springcloud actuator暴露端点漏洞修复
qq_37713521的博客
07-06 720
重启config、gateway及所有业务服务后,突然发现测试环境的服务每隔10-20分钟,服务就会重启,分析后发现是k8s的存活探针Liveness Probe造成的,注释掉k8s 启动服务的yaml文件相关配置,再重启服务就没问题了。前段时间网络安全的同事突然通知系统漏洞,swagger漏洞和暴露多余端点等,可能会泄露信息。刚开始只是修改了相关配置。更改config配置。
SpringBoot框架&Actuator监控泄漏&Swagger自动化测试
qq_68064663的博客
09-16 1326
Actuator监控泄漏&Swagger自动化测试
spring boot actuator 未授权访问(env泄露redis密码)
lyink001的博客
12-16 1万+
actuator 未授权访问获取redis密码
实战|由actuator/health泄露导致的RCE
qq_18209847的博客
12-13 3907
现在spingboot的站点越来越多,在测试spingBoot未授权时,百分之九十的人看到只有actuator/health和actuator/info时,都会视若无睹。然而在一次日常漏洞挖掘过程中,我看到了不一样的actuator/health泄露,进一步拿下了服务器权限。1、发现与往常不一样的点要格外关注。2、指纹识别最好能带上目录。3、多观察,多尝试。
Day39:安全开发-JavaEE应用&SpringBoot框架&Actuator监控泄漏&Swagger自动化
qq_61553520的博客
03-13 1633
小迪安全-Day39:安全开发-JavaEE应用&SpringBoot框架&Actuator监控泄漏&Swagger自动化
记一次禁用springboot所有Actuator端点以防止对外暴露任何运行时信息的操作
Sukamuljo的博客
02-21 8585
禁用springboot所有actuator端点以防止对外暴露信息
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值