springboot 1.3.6中使用actuator默认开启监控,如何防止数据泄漏

最新推荐文章于 2025-06-27 10:41:18 发布
最新推荐文章于 2025-06-27 10:41:18 发布
阅读量2.8k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: JAVA SpringBoot 文章标签: springboot actuator url filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/loongshawn/article/details/83346595
本文介绍了在SpringBoot 1.3.6版本中,由于actuator默认开启监控可能导致数据泄漏的问题。在非Web工程且提供API服务的情况下,未过滤的监控URL可能会暴露敏感信息。虽然在SpringBoot 2.0可以通过配置关闭监控,但在1.x版本中,作者建议通过URL过滤的方式来防止数据泄漏,即设定URL过滤器只允许特定URL访问,拦截其他不必要的监控URL。

在添加完依赖后

<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-actuator</artifactId>
</dependency>

启动工程时会看到如下日志:

2018-10-24 15:48:59.355  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/env/{name:.*}],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.EnvironmentMvcEndpoint.value(java.lang.String)
2018-10-24 15:48:59.355  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/env || /env.json],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.EndpointMvcAdapter.invoke()
2018-10-24 15:48:59.356  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/info || /info.json],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.EndpointMvcAdapter.invoke()
2018-10-24 15:48:59.356  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/beans || /beans.json],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.EndpointMvcAdapter.invoke()
2018-10-24 15:48:59.357  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/health || /health.json],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.HealthMvcEndpoint.invoke(java.security.Principal)
2018-10-24 15:48:59.357  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/metrics/{name:.*}],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.MetricsMvcEndpoint.value(java.lang.String)
2018-10-24 15:48:59.357  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/metrics || /metrics.json],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.EndpointMvcAdapter.invoke()
2018-10-24 15:48:59.358  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/dump || /dump.json],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.EndpointMvcAdapter.invoke()
2018-10-24 15:48:59.359  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[/autoconfig || /autoconfig.json],methods=[GET],produces=[application/json]}" onto public java.lang.Object org.springframework.boot.actuate.endpoint.mvc.EndpointMvcAdapter.invoke()
2018-10-24 15:48:59.359  INFO 15657 --- [           main] o.s.b.a.e.mvc.EndpointHandlerMapping     : Mapped "{[
最低0.47元/天 解锁文章

新学期VIP享超值加赠
完全禁用 Actuator 功能
sondx的专栏
05-22 1181
Spring Boot中,尝试通过设置management.endpoints.enabled-by-default: false来禁用所有Actuator端点,但发现/actuator路径仍可访问。
SpringBoot2(3)应用篇 数据访问 单元测试Junit5 指标监控Actuator 高级特性profile
chengqingshihuishui的博客
05-12 716
01 数据访问 1、SQL 1.1 数据源的自动配置-HikariDataSource 1.1.1 导入JDBC场景 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-jdbc</artifactId> </dependency> 该starter会导入一
Spring boot带来的信息泄露
就是我的博客
05-05 1万+
一、什么是Actuator Spring Boot Actuators 模块端点信息官方文档: Spring Boot Actuator Web API Documentation Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的..
解决目录穿越访问Spring Actuator 接口(未授权)
最新发布
HRSR1314的博客
06-27 556
解决目录穿越访问Spring Actuator 接口(未授权)
使用SpringBoot里Endpoint中遇到的一个小坑
08-24 978
笔者一直普及有关Go语言和容器Docker方面的技术,这两方面的技术都是入门和深入云原生技术的底层技术;作为云原生上层应用中java还是需求量最高的,在java的云技术里springcloud和springboot是java中顶级流量的两个框架,程序员紫龙在java微服务架构也折腾过很多年,今天给大家分享的就是有关springboot里有关Endponint使用的一个技术坑。
SpringBoot指标监控
m0_62946761的博客
01-17 1万+
SpringBoot指标监控部分,介绍SpringBoot ActuatorActuator Endpoint以及定制 Endpoint
Spring boot actuator端点启用和暴露
热门推荐
OceanSky的专栏
11-13 5万+
1.启用端点 默认情况下,除了shutdown端点是关闭的,其它的都是启用的。配置一个端点的启用,使用management.endpoint..enabled属性,下面的例子是启用shutdown端点: management.endpoint.shutdown.enabled=true 如果你个人更喜欢自定义端点的启用和关闭,可以使用如下属性 management.endpoints.enabl...
SpringBoot应用监控Actuator使用的安全隐患
isxiaole的博客
03-23 1万+
SpringBoot应用监控Actuator使用的安全隐患,导致漏洞利用getshell。
Linux平台SpringBoot 1.3.6.RELEASE免费下载指南
因此,尽管"spring-boot-1.3.6.RELEASE.tar.gz"提供了对应版本的下载,但在实际开发中,建议使用最新稳定版本的SpringBoot,以确保获得最新的功能和安全更新。 最后,关于下载方式的说明,“免费下载”意味着用户...
SpringBoot 1.3.6项目部署与基础结构解析
编写Controller内容时,可以使用`@RestController`注解,它表示Controller中的方法会返回JSON格式的数据,无需额外配置JSON转换。 启动应用后,可以通过访问`http://localhost:8080/hello`之类的URL来测试应用是否...
jQuery EasyUI 1.3.6 离线简体中文API文档
04-12
本次还将EasyUI 1.3.6版直接提供到API包里面,方便没有去官网下载的人直接使用。请大家持续关注我发布的资源,不出意外,我是会一直持续更新本API文档的。本次更新内容大约有30个,Bug修复的只有2个,剩下的全是新增...
Spring Boot教程 - 2. Spring Boot提供的特性
qiutongyeluo的专栏
07-14 5238
一、导览本文主要按以下模块介绍Spring Boot(1.3.6.RELEASE)提供的特性。 1. SpringApplication类 2. 外部化配置 3. Profiles 4. 日志 5. 开发WEB应用 6. Security 7. 使用SQL 8. 使用JOOQ 9. 使用NoSQL 10. 缓存 11. 消息 12. 测试 13. dev tools演
Spring Boot示例 - 1. 使用Spring Boot Actuator构建RESTful web service
qiutongyeluo的专栏
07-11 5087
一、概述Spring Boot ActuatorSpring Boot的子项目。使用它无需特别配置,即可为应用增加一些生产级别的服务。本教程展示使用Eclipse + Maven来从零开始构建一个RESTful的应用。 该应用作用是访问http://localhost:8080/fuck?name=xxx,会返回json字符串,并且访问http://localhost:8080/metrics
Spring boot——Actuator 详解
weixin_45985053的博客
07-19 3万+
SpringBoot提供了所谓的endpoints(下文翻译为端点)给外部来与应用程序进行访问和交互。打比方来说,/health端点提供了关于应用健康情况的一些基础信息。metrics端点提供了一些有用的应用程序指标(JVM内存使用、系统CPU使用等)。这些Actuator模块本来就有的端点我们称之为原生端点。应用配置类获取应用程序中加载的应用配置、环境变量、自动化配置报告等与SpringBoot应用密切相关的配置类信息。度量指标类操作控制类提供了对应用的关闭等操作类功能。...
linux部署
m0_60694178的博客
09-05 321
linu部署
可造成敏感信息泄露!Spring Boot之Actuator信息泄露漏洞三种利用方式总结
WangsuSecurity的博客
08-02 1万+
如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患。其中heapdump作为Actuator组件最为危险的Web端点,因未授权访问被恶意人员获取后进行分析,可进一步获取敏感信息。
SpringBoot2开启Actuator端点监控
Heartsuit的博客
06-26 9040
SpringBoot本身提供了一套监控端点, 可以查看应用的基本信息、 健康程度、 配置等监控信息, 很容易上手。 开启Actuator 在Maven的pom.xml文件中添加 spring-boot-starter-actuator 依赖: <dependency> <groupId>org.springframework.boot</groupId>...
Spring Boot2.0开启Actuator状态监控
总想试试,万一成了呢??
10-11 1776
Spring Boot的Actuator提供了运行状态监控功能,可以通过REST、远程Shell和JMX方式来查看,使用时在pom文件添加spring-boot-starter-actuator的依赖即可。 配置文件中添加如下内容即可: management.port=9001 management.security.enabled=false 但在Spring Boot2.0中以上配置选项被废...
spring boot 2.0.0下spring-boot-starter-actuator默认endpoints未打开
u013905744的专栏
04-08 4565
最近在spring boot 2.0.0下配置spring-boot-starter-actuator,加入依赖后启动,发现spring-boot-starter-actuator2.0.0 RELEASE进行了重构,与之前的spring-boot-actuator使用大有区别区别1:启动后只显示/actuator/actuator/info/actuator/health其他的endpoint...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值