Metrics 未授权访问漏洞【原理扫描】

原创 于 2025-06-27 18:34:24 发布 · 927 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#笔记

目录标题

端口 30222 并不是某个广泛知名服务的固定端口,它通常不是系统保留或标准服务端口。在实际环境中,端口 30222 可能由某个应用随机使用,也可能是用户或某软件自定义配置的。

但根据你提到的:

Metrics 未授权访问漏洞【原理扫描】

结合经验和漏洞分析,可以推测这个端口 极有可能被用来暴露某些服务的监控 Metrics 接口(如 Prometheus 格式的 /metrics),而且该接口未做鉴权控制,从而被安全扫描工具识别为“未授权访问”漏洞。

🧠 典型原因分析

  1. 某服务监听 30222 端口,暴露 /metrics 接口

    • 例如:

      • Java 应用(Spring Boot 默认暴露 /actuator/metrics)
      • Node Exporter / 自定义 Exporter
      • Prometheus Pushgateway
      • Python Flask / FastAPI 等框架通过 prometheus_client.start_http_server(30222) 暴露指标

  2. 接口未授权访问

    • 没有 token、IP 白名单、认证头等保护
    • 直接暴露给公网或内网所有地址,导致泄露敏感指标信息(如 JVM 内存、数据库连接数、接口调用情况等)

  3. 被安全工具识别为漏洞

    • 如:漏洞扫描工具(如 AWVS、FOFA、ZoomEye、xray)发现该端口下 /metrics/actuator/metrics/prometheus 可访问,判定为信息泄露类漏洞

🔍 如何确认是哪种服务

你可以用以下方式确认 30222 上到底跑的是什么:

# 1. 查看监听该端口的进程
sudo lsof -i :30222
# 或
netstat -tnlp | grep 30222

# 2. 使用 curl 查看端口暴露内容
curl http://<ip>:30222/metrics
curl http://<ip>:30222/actuator/metrics

# 3. 查看 HTTP 头和响应体,判断框架
curl -I http://<ip>:30222

✅ 修复建议

  1. 鉴权保护接口

    • 增加基本认证、Token、或 OAuth2
    • Spring Boot 可配置 management.endpoints.web.exposure.includemanagement.endpoints.web.base-path

  2. IP 白名单限制

    • 仅允许 Prometheus 等采集系统访问

  3. 不暴露到公网

    • 限制监听 127.0.0.1 或使用内网防火墙(iptables、安全组)

  4. 添加反向代理做统一认证

    • 如使用 nginx 或 envoy proxy 加入 token 校验等中间层认证逻辑

🔗 参考链接

如果你能提供该端口返回的部分内容(如 /metrics 的输出或 HTTP 响应头),我可以进一步帮你确认是哪种服务。

Springboot之actuator配置不当漏洞(autoconfig、configprops、beans、dump、env、health、info、mappings、metrics、trace)
墨痕诉清风的博客
10-11 7150
Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。Actuator 配置不当导致应用系统监控信息泄露对应用系统及其用户的危害是巨大的,然而关于 springboot 框架下 actuator 配置不当的漏洞利用分析文章很少,目前笔者只在先知社
二十八种未授权访问漏洞合集(暂时最全)
墨痕诉清风的博客
01-04 5408
目录 0x01 未授权漏洞预览 0x02 Active MQ 未授权访问 0x03 Atlassian Crowd 未授权访问 0x04 CouchDB 未授权访问 0x05 Docker 未授权访问 0x06 Dubbo 未授权访问 0x07 Druid 未授权访问 0x08 Elasticsearch 未授权访问 0x09 FTP 未授权访问 0x10 HadoopYARN 未授权访问 0x11 JBoss 未授权访问 0x12 Jenkins 未授权访问 0x13 Jupyt
未授权访问漏洞总结
LuckySec
03-24 5825
前言:这篇文章主要收集一些常见的未授权访问漏洞未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 0x01 未授权漏洞预览 Active MQ 未授权访问 Atlassian Crowd 未授权访问 CouchDB 未授权访问 Docker 未授权访问 Dubbo 未授权访问 Druid 未授权访问 Elasticsearch 未授权访问 FTP 未授权访问 Hadoop 未授权访问 JBoss 未授权访
SpringBoot Actuator未授权访问漏洞的全面解析与解决方案
Arvin627的博客
04-29 3426
引言SpringBoot Actuator 作为应用监控与管理的核心组件,为开发者提供了丰富的系统自省和运维能力。然而,其默认配置中可能存在的未授权访问漏洞,已成为企业安全防护的潜在风险。本文将从漏洞原理、影响范围、检测方法到解决方案,系统性地剖析该问题,并提供覆盖开发、运维、安全等多维度的防护策略,助力构建安全可靠的SpringBoot应用体系。
开启hghac集群Rest API证书认证,修复Prometheus Metrics 未授权访问8008端口
最新发布
HighGO
05-19 946
除了在restapi配置中添加证书信息及verify_client: required之外,还需要在ctl配置中添加客户端证书信息,因为hghactl会作为客户端与restapi服务端交互信息。所有集群节点拥有相同的根证书及客户端证书,将主节点上生成的根证书和客户端证书及对应的密钥复制到备节点同目录下,在各备节点上只需要生成对应的服务器证书,注意修改成对应节点的IP。其中,根证书、服务器证书和客户端证书配置不同的CN(Common Name),days配置成3650即10年不过期,可根据需要调整。
Prometheus 问题
u013939918的博客
07-21 6511
问题一 :context deadline exceeded Get http://192.168.90.177:9100/metrics: context deadline exceeded 解决办法:有可能端口未开放,指定其他端口 [root@localhost ~]#./node_exporter--web.listen-address=":8080" & 问题二:read: connection reset by peer Get http://192.168.110.85:...
TiDB之Prometheus未授权访问漏洞修复
IT技术学习与工作笔记分享
07-01 3106
输入密码后,你应能看到 Prometheus 的指标输出。输入你的密码(例如 “test”)后,脚本会输出类似于。路径指向正确的 web.yml 文件位置。如果验证成功,会输出。
未授权访问漏洞
2201_75572825的博客
08-08 3253
未授权访问漏洞是指攻击者可以在不经过身份验证或授权的情况下,访问网站的敏感资源或功能.这种漏洞通常发生在网站没有正确实施访问控制机制或存在安全配置错误的情况下,导致可以让任意用户或者限制访问用户可以访问到内部敏感信息。
Redis未授权访问
Thewei666的博客
08-25 820
但是通过phpinfo得知的信息是当前目录为/var/www/html。所以应该是无权限写入,那么就需要爆破子目录,看看子目录有没有写入权限。尝试传入生成的值或者二次编码后在传入,结果:网页瞬间刷新,无反应。造成的原因可能有两种:一种是无权限写入,另一种是写入的路径错误。,使用http协议去探测这台主机上面的存活端口以及C段存活主机。使用BP爆破端口,可以看到目前服务器好像只有一个80端口有用。BP爆破一下内网的存活主机,可以发现。可以得到当前主机的IP地址信息为。由PHP代码可知,传入的参数为。
Redis未授权访问漏洞复现
weixin_55123346的博客
06-26 1575
Redis漏洞复现
SpringBoot Actuator未授权访问漏洞修复
jcc4261的博客
12-09 875
目前SpringBoot得框架,越来越广泛,大多数中小型企业,在开发新项目得时候。后端语言使用java得情况下,首选都会使用到SpringBoot。在很多得一些开源得框架中,例如: ruoyi若以,这些。不知道是出于什么原因?我们都会在这些框架中得pom文件中找到的依赖。嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件中;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。例如下面:对于这些漏洞,我们开始修复喽!!!
漏洞防范与应对:从发现到修复的全攻略】Prometheus Pushgateway推送网关 存在未授权访问漏洞 ,处理过程详解!!!
大唐有趣的小胡.
05-11 4227
本文详细介绍了Prometheus Pushgateway推送网关存在的未授权访问漏洞及其处理过程。该漏洞允许未经授权的用户访问Pushgateway,可能导致敏感信息泄露或系统被恶意利用。文章首先分析了漏洞产生的原因,然后给出了具体的处理步骤,包括限制访问权限、更新配置文件、重启服务等。同时,强调了及时修复漏洞的重要性,并提供了防范类似漏洞的建议。通过本文的指南,读者可以了解如何发现并应对Prometheus Pushgateway推送网关的未授权访问漏洞,确保系统的安全性和稳定性。
未授权访问漏洞复现~~~】
m0_59151303的博客
08-05 2344
步骤二:可使用Nmap扫描该端口是否开启服务,还可以使用Metasploit中关于允许匿名访问的rsync扫描模块进行探测…步骤二:如果存在未授权访问漏洞则直接访问 http://IP:8888会直接跳到web管理界面,不需要输入密码。步骤二:ActiveMQ默认使用8161端口,默认用户名和密码是 admin/admin,在打开的页面输入…步骤二:在打开的URL中…步骤一:使用以下Fofa语法搜索使用Idap服务的产品.…步骤一:在 fofa 中搜索该资产语法如下并在Vulhub中开启靶场!
0x2Meterpreter后漏洞利用攻击教程
si1ence的博客
07-28 661
Meterpreter的攻击场景一般为先向被攻击系统发送一个攻击载荷(payload),该攻击载荷会反向链接到meterpreter,然后发送一个Meterpeter Server dll紧接着发送第二个dll注入攻击载荷完成一个socket的,这样服务器与客户端的meterpreter会话就生成了。 Meterpreter链接上后具有很多功能如下 基于不同的用途,这里列举这些命令的部分 ...
三十种未授权访问漏洞复现 合集( 三)
qq_48368964的博客
08-04 2101
Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。
/metrics 未授权访问漏洞
01-03
### 关于 /metrics 未授权访问漏洞 /metrics端点通常用于暴露应用程序内部的各种度量数据,这些信息对于监控和调试非常有用。然而,在某些情况下,如果此接口配置不当,则可能导致未经授权的用户获取敏感信息。 影响方面,攻击者可能通过该漏洞获得有关服务器性能、请求模式以及其他潜在可利用的数据[^1]。这不仅泄露了系统的运行状态,还可能帮助恶意行为者规划更复杂的攻击策略。 针对这一安全风险,有几种解决方案可以考虑: #### 解决方案一:身份验证与授权控制 实施严格的身份验证机制来保护/metrics路径免受非法访问。仅允许经过认证并具有适当权限的角色查看指标信息。可以通过集成OAuth2或其他成熟的鉴权框架实现这一点[^2]。 ```python from fastapi import FastAPI, Depends from fastapi.security import OAuth2PasswordBearer app = FastAPI() oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token") @app.get("/metrics", dependencies=[Depends(oauth2_scheme)]) async def read_metrics(): return {"data": "protected metrics"} ``` #### 解决方案二:网络隔离技术 采用防火墙规则或反向代理设置限制对特定IP地址范围内的客户端开放/metrics资源。这样即使存在其他地方的安全弱点,也能够有效阻止外部实体接触敏感端口和服务[^3]。 ```nginx location /metrics { allow 192.168.0.0/16; deny all; proxy_pass http://localhost:8080; } ``` #### 预防措施建议 - 定期审查应用的日志文件,留意任何异常活动迹象。 - 对所有公开可用的API进行全面测试,确保它们按照预期工作并且不会无意间暴露出不应该被看到的内容。 - 使用自动化工具扫描项目源码中的常见错误配置问题,提前发现隐患所在之处。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值