SpringBoot Actuator未授权访问

原创 已于 2025-02-10 17:21:59 修改 · 1.9k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #后端 #java

于 2025-02-07 17:39:57 首次发布

原文URL: https://jenchoi.top/2025/springboot-actuator-unauthorized-access

Actuator介绍

Spring Boot Actuator 是一个用于监控和管理 Spring Boot 应用的库,提供了多种端点(endpoints)来查看应用的运行状态、健康检查、指标、日志等信息,适用于生产环境监控和故障排查。

主要功能:

  1. 健康检查(Health)/actuator/health 显示应用健康状态,如数据库、缓存等组件的可用性。
  2. 应用指标(Metrics)/actuator/metrics 提供 CPU、内存、GC、请求统计等信息。
  3. 环境信息(Env)/actuator/env 显示应用环境变量和配置属性。
  4. 日志管理(Loggers)/actuator/loggers 允许动态调整日志级别。
  5. 线程 Dump(Thread Dump)/actuator/threaddump 获取当前 JVM 线程信息。
  6. HTTP 请求追踪(HttpTrace)/actuator/httptrace 记录最近的 HTTP 请求信息。
    其他功能请参考官方文档: https://docs.spring.io/spring-boot/docs/2.0.x/actuator-api/html/

Actuator使用

pom.xml中添加Actuator依赖

 <dependency>
     <groupId>org.springframework.boot</groupId>
     <artifactId>spring-boot-starter-actuator</artifactId>
 </dependency>

Spring 3.x只要引入上述依赖,不需要在配置文件中做任何配置,默认可以访问

  • /actuator
  • /actuator/health

/actuator可以看到,当前可以访问哪些子页面,以下是默认的response

{
  "_links": {
    "self": {
      "href": "http://localhost:8088/actuator",
      "templated": false
    },
    "health": {
      "href": "http://localhost:8088/actuator/health",
      "templated": false
    },
    "health-path": {
      "href": "http://localhost:8088/actuator/health/{*path}",
      "templated": true
    }
  }
}

现在再加一条配置重启,把其他的监控也暴露出去

management.endpoints.web.exposure.include=*

再访问/actuator,可以看到,现在能访问其他的了

{
  "_links": {
    "self": {
      "href": "http://localhost:8088/actuator",
      "templated": false
    },
    "beans": {
      "href": "http://localhost:8088/actuator/beans",
      "templated": false
    },
    "caches-cache": {
      "href": "http://localhost:8088/actuator/caches/{cache}",
      "templated": true
    },
    "caches": {
      "href": "http://localhost:8088/actuator/caches",
      "templated": false
    },
    "health": {
      "href": "http://localhost:8088/actuator/health",
      "templated": false
    },
    "health-path": {
      "href": "http://localhost:8088/actuator/health/{*path}",
      "templated": true
    },
    "info": {
      "href": "http://localhost:8088/actuator/info",
      "templated": false
    },
    "conditions": {
      "href": "http://localhost:8088/actuator/conditions",
      "templated": false
    },
    "configprops": {
      "href": "http://localhost:8088/actuator/configprops",
      "templated": false
    },
    "configprops-prefix": {
      "href": "http://localhost:8088/actuator/configprops/{prefix}",
      "templated": true
    },
    "env": {
      "href": "http://localhost:8088/actuator/env",
      "templated": false
    },
    "env-toMatch": {
      "href": "http://localhost:8088/actuator/env/{toMatch}",
      "templated": true
    },
    "loggers": {
      "href": "http://localhost:8088/actuator/loggers",
      "templated": false
    },
    "loggers-name": {
      "href": "http://localhost:8088/actuator/loggers/{name}",
      "templated": true
    },
    "heapdump": {
      "href": "http://localhost:8088/actuator/heapdump",
      "templated": false
    },
    "threaddump": {
      "href": "http://localhost:8088/actuator/threaddump",
      "templated": false
    },
    "metrics-requiredMetricName": {
      "href": "http://localhost:8088/actuator/metrics/{requiredMetricName}",
      "templated": true
    },
    "metrics": {
      "href": "http://localhost:8088/actuator/metrics",
      "templated": false
    },
    "sbom": {
      "href": "http://localhost:8088/actuator/sbom",
      "templated": false
    },
    "sbom-id": {
      "href": "http://localhost:8088/actuator/sbom/{id}",
      "templated": true
    },
    "scheduledtasks": {
      "href": "http://localhost:8088/actuator/scheduledtasks",
      "templated": false
    },
    "mappings": {
      "href": "http://localhost:8088/actuator/mappings",
      "templated": false
    }
  }
}

只激活部分端点,比如暴露 health 端点和 metrics 端点

management.endpoints.web.exposure.include=metrics,health

还有一个有意思的配置

management.endpoints.web.base-path=/jenchoi

简单理解这个配置会把/actuator替换成/jenchoi
比如原来访问 http://localhost:8088/actuator/mappings
配置了之后访问 http://localhost:8088/jenchoi/mappings

对于同样暴露在公网,并且开了危险端点的应用来说,在实际的漏洞防护上有那么一点点效果,至少可以防止工具无脑扫到/actuator目录。

漏洞成因

上面了解了Actuator的用法之后,那么此未授权访问漏洞的成因就非常容易理解了——开发人员开启了Actuator组件,没有做任何的鉴权措施。

修复方案

1、不开Actuator监控,移除pom文件中的依赖
虽然Actuator是Spring官方提供的工具,但也是需要开发者在pom中引用的,如果不需要,直接移除该依赖是最稳妥的方式。

2、关闭web访问

management.endpoints.access.default=none

# or(该方法为弃用方法)
management.endpoints.enabled-by-default=false

关闭之后,/actuator还是可以访问的,但是从response可以看出其他的是无法访问的

{
  "_links": {
    "self": {
      "href": "http://localhost:8080/actuator",
      "templated": false
    }
  }
}

审计思路

1、检查pom文件是否引入了spring-boot-starter-actuator依赖

2、检查配置文件中以management.endpoints相关的配置是否合理
注意:如果是yml配置文件,直接在配置文件里面搜endpoints关键词

参考链接

  1. Spring Boot 2 Actuator Web API Documentation
  2. Spring Boot 3 Actuator Web API Documentation
  3. 如何在idea中创建一个SpringBoot项目(超详细教学)idea创建springboot项目-优快云博客
  4. 如何使用 Spring Boot Actuator 组件实现系统监控?- 掘金
Spring Boot Actuator详解与漏洞利用
李同學的安全圈
08-19 7347
由Pivotal团队提供的全新框架,其设计的目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。ActuatorSpring Boot提供的对应用系统的监控和管理。
web渗透测试漏洞复现:Springboot Actuator未授权漏洞复现
HACKONE的博客
03-28 5219
pring Boot ActuatorSpring Boot 框架中非常重要的一个模块,设计用于增强应用程序在生产环境中的可观察性和管理能力。Actuator 提供了一系列内建的端点(Endpoints),这些端点可通过 HTTP 或 JMX 接口暴露应用的健康状况、度量指标、审计信息、环境属性、 Beans 列表等多种内部状态信息。
浅析SpringBoot框架常见未授权访问漏洞
最新发布
lza20001103的博客
10-08 1055
浅析SpringBoot框架常见未授权访问漏洞
SpringBoot Actuator未授权访问漏洞修复
JHIII的博客
08-25 2万+
目前SpringBoot得框架,越来越广泛,大多数中小型企业,在开发新项目得时候。后端语言使用java得情况下,首选都会使用到SpringBoot。在很多得一些开源得框架中,例如: ruoyi若以,这些。不知道是出于什么原因?我们都会在这些框架中得pom文件中找到的依赖。嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件中;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。例如下面:对于这些漏洞,我们开始修复喽!!!
Spring Boot Actuator未授权访问漏洞
SummerGao
12-03 5104
Spring Boot ActuatorSpring Boot提供的一个用于对应用系统进行自省和监控的功能模块。它允许开发者通过暴露的端点(Endpoints)来查看和交互应用系统的各种指标和配置信息,如健康检查、环境属性、线程转储、HTTP追踪等。这些端点对于开发者在开发、测试以及生产环境中监控和管理应用非常有用。
Springboot Actuator未授权访问漏洞
weixin_53736204的博客
08-05 751
Actuatorspringboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息,从而导致信息泄露甚至服务器被接管的事件发生。Actuatorspringboot 提供的用来对应用系统进行自省和监控的功能模块。步骤二:拼接以下路径查看泄露的数据.
spring boot actuator 未授权访问(env泄露redis密码)
lyink001的博客
12-16 1万+
actuator 未授权访问获取redis密码
Spring Boot Actuator未授权访问排查和整改指南
weixin_44106034的博客
10-19 4万+
1、信息泄露:未授权访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对未授权用户开放。2、系统破坏:攻击者可以通过Actuator端点的未授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
SpringBoot Actuator未授权访问漏洞的全面解析与解决方案
Arvin627的博客
04-29 5302
引言SpringBoot Actuator 作为应用监控与管理的核心组件,为开发者提供了丰富的系统自省和运维能力。然而,其默认配置中可能存在的未授权访问漏洞,已成为企业安全防护的潜在风险。本文将从漏洞原理、影响范围、检测方法到解决方案,系统性地剖析该问题,并提供覆盖开发、运维、安全等多维度的防护策略,助力构建安全可靠的SpringBoot应用体系。
Hadoop,ActiveMQ,RabbitMQ,Springboot Actuator未授权访问漏洞(附带修复方法)
C233333235的博客
08-09 3466
Hadoop是⼀个由Apache基⾦会所开发的分布式系统基础架构,由于服务器直接在开放了Hadoop 机器 HDFS 的 50070 web 端⼝及部分默认服务端⼝,⿊客可以通过命令⾏操作多个⽬录下的数据,如进⾏删除,下载,⽬录浏览甚⾄命令执⾏等操作,产⽣极⼤的危害。在 Actuator 启⽤的情况下,如果没有做好相关权限控制,⾮法⽤户可通过访问默认的执⾏器端点(endpoints)来获取应⽤系统中的监控信息,从⽽导致信息泄露甚⾄服务器被接管的事件发⽣。默认情况下,ActiveMQ服务是没有配置安全参数。
SpringbootActuator未授权访问漏洞
web_15534274656的博客
03-10 1831
ActuatorSpringBoot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。然而,其默认配置会出现接口未授权访问,导致部分接口会泄露网站数据库连接信息等配置信息,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
springboot未授权访问&CVE-2014-3566
qq_42430287的博客
02-23 779
springboot actuator未授权访问 Spring Boot 1.x版本端点在根URL下注册 /autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过 /beans 描述应用程序上下文里全部的Bean,以及它们的关系 /env 获取全部环境属性 /configprops 描述配置属性(包含默认值)如何注入Be...
【高危】Spring Boot Actuator未授权访问
imudges_hanhaoyu的博客
05-29 1841
一个SpringBoot的项目,采用了若依的框架,不知道是框架自带的还是有人单独加的,项目里用到了。(以下简称SBA)主要用于Spring Boot应用的健康检查,配合K8S可用于服务部署,切换流量,监控报警等场景。但是就我的理解,这个项目是一个比较简单的项目,应该是用不到Spring Boot Actuator的然后,被检测出来,有漏洞了。。。
Spring Boot Actuator未授权访问漏洞利用
热门推荐
Bird&Bird
08-24 7万+
目录一、前言二、端点描述三、漏洞发现四、漏洞利用五、安全措施六、安全建议 一、前言 ActuatorSpring Boot 提供的服务监控和管理中间件。当 Spring Boot 应用程序运行时,它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置,就有可能导致一些系统信息泄露、XXE、甚至是 RCE 等安全问题。 二、端点描述 官方文档对每个端点的功能进行了描述。 路径 描述 /autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过 /be
SpringBoot Actuator敏感接口未授权访问漏洞
qq_48550824的博客
01-08 2014
Springboot Actuator未授权访问漏洞复现-腾讯云开发者社区-腾讯云 Spring Boot Actuator未授权访问漏洞利用_spring boot actuator unauthorized access-优快云博客 springboot actuator未授权访问 - 安全课-信仰 - 博客园
springboot Actuator未授权访问漏洞
qq_45382625的博客
08-29 1198
Spring Boot 2.X 中,Actuator 默认开放 health 和 info 两个端点,如果需要配置开放所有端点(配置值为 "*" 代表所有)
Spring Boot Actuator未授权访问漏洞处理
爱米酱的博客
12-02 5973
【代码】Spring Boot Actuator未授权访问漏洞处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值