Springboot Actuator未授权访问漏洞

已于 2023-11-08 11:25:49 修改
阅读量3.1k 收藏 6
点赞数 3
分类专栏: 运维 springboot 文章标签: 运维 spring boot
于 2023-06-13 23:57:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lanren312/article/details/131195559
版权
文章讲述了Springboot的Actuator模块在未做权限控制时可能带来的安全风险,以及如何通过修改YML配置来排除特定端点,增强系统安全性。同时提到了Druid组件的连接池监控关闭方法,以防止未经授权的监控信息暴露。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参考博客: https://blog.youkuaiyun.com/m0_57042151/article/details/126719041

漏洞概述:

Actuator 是 Springboot 提供的用来对应用系统进行 自省和监控的功能模块,借助于 Actuator ,开发者可以很方便地对应用系统的某些监控指标进行查 看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点( endpoints )来获取应用系统中的监控信息。

在浏览器中输入  ip:port/actuator/env 非法用户可通过访问默认的执行器端点( endpoints )来获取应用系统中的监控信息。

修改yml配置

方法一:

management:
  endpoints:
    web:
      exposure:
         exclude: env,heapdump,threaddump,mappings

方法二:完全禁用Actuator

management:
  server:
    port: -1

再去访问,页面就显示空白。

方法三:关闭Actuator监控

management:
  endpoints:
    enabled-by-default: false

另外补充druid组件漏洞

参考博客: https://blog.youkuaiyun.com/m0_73557631/article/details/132426357

https://blog.youkuaiyun.com/java_collect/article/details/83660809 

关闭连接池监控

spring:
  datasource:
    druid:
      stat-view-servlet:
        enabled: false

web渗透测试漏洞复现:Springboot Actuator未授权漏洞复现
HACKONE的博客
03-28 4355
pring Boot ActuatorSpring Boot 框架中非常重要的一个模块,设计用于增强应用程序在生产环境中的可观察性和管理能力。Actuator 提供了一系列内建的端点(Endpoints),这些端点可通过 HTTP 或 JMX 接口暴露应用的健康状况、度量指标、审计信息、环境属性、 Beans 列表等多种内部状态信息。
SpringBoot Actuator未授权访问漏洞修复
JHIII的博客
08-25 2万+
目前SpringBoot得框架,越来越广泛,大多数中小型企业,在开发新项目得时候。后端语言使用java得情况下,首选都会使用到SpringBoot。在很多得一些开源得框架中,例如: ruoyi若以,这些。不知道是出于什么原因?我们都会在这些框架中得pom文件中找到的依赖。嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件中;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。例如下面:对于这些漏洞,我们开始修复喽!!!
springboot未授权访问&CVE-2014-3566
qq_42430287的博客
02-23 698
springboot actuator未授权访问 Spring Boot 1.x版本端点在根URL下注册 /autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过 /beans 描述应用程序上下文里全部的Bean,以及它们的关系 /env 获取全部环境属性 /configprops 描述配置属性(包含默认值)如何注入Be...
SpringBoot Actuator未授权访问漏洞的全面解析与解决方案
最新发布
Arvin627的博客
04-29 1634
引言SpringBoot Actuator 作为应用监控与管理的核心组件,为开发者提供了丰富的系统自省和运维能力。然而,其默认配置中可能存在的未授权访问漏洞,已成为企业安全防护的潜在风险。本文将从漏洞原理、影响范围、检测方法到解决方案,系统性地剖析该问题,并提供覆盖开发、运维、安全等多维度的防护策略,助力构建安全可靠的SpringBoot应用体系。
Spring Boot Actuator未授权访问漏洞
SummerGao
12-03 4458
Spring Boot ActuatorSpring Boot提供的一个用于对应用系统进行自省和监控的功能模块。它允许开发者通过暴露的端点(Endpoints)来查看和交互应用系统的各种指标和配置信息,如健康检查、环境属性、线程转储、HTTP追踪等。这些端点对于开发者在开发、测试以及生产环境中监控和管理应用非常有用。
SpringbootActuator未授权访问漏洞
潇逗
05-28 1万+
ActuatorSpringBoot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。然而,其默认配置会出现接口未授权访问,导致部分接口会泄露网站数据库连接信息等配置信息,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
springboot Actuator未授权访问漏洞
qq_45382625的博客
08-29 1140
Spring Boot 2.X 中,Actuator 默认开放 health 和 info 两个端点,如果需要配置开放所有端点(配置值为 "*" 代表所有)
Spring Boot Actuator未授权访问漏洞利用
热门推荐
Bird&Bird
08-24 6万+
目录一、前言二、端点描述三、漏洞发现四、漏洞利用五、安全措施六、安全建议 一、前言 ActuatorSpring Boot 提供的服务监控和管理中间件。当 Spring Boot 应用程序运行时,它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置,就有可能导致一些系统信息泄露、XXE、甚至是 RCE 等安全问题。 二、端点描述 官方文档对每个端点的功能进行了描述。 路径 描述 /autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过 /be
SpringBoot Actuator敏感接口未授权访问漏洞
qq_48550824的博客
01-08 1799
Springboot Actuator未授权访问漏洞复现-腾讯云开发者社区-腾讯云 Spring Boot Actuator未授权访问漏洞利用_spring boot actuator unauthorized access-优快云博客 springboot actuator未授权访问 - 安全课-信仰 - 博客园
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值