可造成敏感信息泄露!Spring Boot之Actuator信息泄露漏洞三种利用方式总结

最新推荐文章于 2025-04-29 22:54:31 发布
最新推荐文章于 2025-04-29 22:54:31 发布
阅读量1k 收藏 9
点赞数 18
分类专栏: 面试 学习路线 阿里巴巴 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_67392010/article/details/145968470
版权

1.介绍

Spring Boot是一个基于Spring的套件,它提供了一个即开即用的应用程序架构,可以简化Spring应用的创建及部署流程,帮助开发者更轻松快捷地构建出企业及应用。

Spring Boot项目中Actuator模块提供了众多HTTP接口端点(Endpoint),来提供应用程序运行时的内部状态信息。可以使用http、jmx、ssh、telnet等来管理和监控应用。包括应用的审计(Auditing)、健康(health)状态信息、数据采集(metrics gathering)统计等监控运维的功能。如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患(外部人员非授权访问Actuator端点)。其中heapdump作为Actuator组件最为危险的Web端点,heapdump因未授权访问被恶意人员获取后进行分析,可进一步获取敏感信息。

Spring Boot 1.x 和 2.x 的 Actuator模块设置有差别,访问功能的路径也有差别,但现在多使用的Spring Boot版本为2.x

2.Actuator存在两个版本

1)x版本

/configprops#显示所有@ConfigurationProperties

/env#公开Spring的ConfigurableEnvironment

/health#显示应用程序运行状况信息

/httptrace#显示HTTP跟踪信息

/metrics#显示当前应用程序的监控指标信息

/mappings#显示所有@RequestMapping路径的整理列表

/threaddump#线程转储

/heapdump#堆转储

/jolokia#JMX-HTTP桥,它提供了一种访问JMXbeans的替代方法

2)x版本

/actuator/configprops # 显示所有@ConfigurationProperties

/actuator/env # 公开Spring的ConfigurableEnvironment

/actuator/health # 显示应用程序运行状况信息

/actuator/httptrace # 显示HTTP跟踪信息

/actuator/metrics # 显示当前应用程序的监控指标信息。

/actuator/mappings # 显示所有@RequestMapping路径的整理列表

/actuator/threaddump # 线程转储

/actuator/heapdump#堆转储

/actuator/jolokia#JMX-HTTP桥,它提供了一种访问JMXbeans的替代方法

3. /actuator/env利用

该端点可以返回全部环境变量以及一些配置信息,其中就包含了数据库配置信息。但是我们可以看到password被用*代替了,这时就要想办法读取该数据了,获取明文密码办法有以下四种。

方法一(heapdump)

利用条件:

可正常GET请求目标/heapdump或/actuator/heapdump接口

利用方法:

(1)下载heapdump

127.0.0.1:8088/actuator/heapdump 下载heapdump文件,泄露JAVA堆dump信息:

(2)heapdump文件解密

https://github.com/wyzxxz/heapdump_tool

查询密码 > password

获取ip > getip

获取url > geturl

获取文件路径 > getfile

方法二(jolokia)

利用条件:

目标网站存在/jolokia或/actuator/jolokia接口

目标使用了jolokia-core依

最低0.47元/天 解锁文章
Spring Boot Actuator详解与漏洞利用
李火火的安全圈
08-19 7145
由Pivotal团队提供的全新框架,其设计的目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来配置,从而使开发人员不再需要定义样板化的配置。通过这种方式Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。ActuatorSpring Boot提供的对应用系统的监控和管理。
spring框架漏洞整理(Spring Boot Actuator相关漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 2128
​本文搜集了所有 spring 相关漏洞,对它们的利用条件和检测方式进行梳理和总结,希望在面对 spring 的时候能够有一个更完整的思路。这里更多是的是的利用条件和检测方式的总结,主要以发现漏洞为目的,至于如何将漏洞效果最大化这里不做过多介绍,网上资料很多,直接查对应文章即可。本文重点讲解Spring Boot Actuator相关漏洞 Spring Boot Actuator相关漏洞 主要参考文章了https://github.com/LandGrey/SpringBootVulExploit 这篇文章
SpringBoot Actuator未授权访问漏洞的全面解析与解决方案
最新发布
Arvin627的博客
04-29 1698
引言SpringBoot Actuator 作为应用监控与管理的核心组件,为开发者提供了丰富的系统自省和运维能力。然而,其默认配置中可能存在的未授权访问漏洞,已成为企业安全防护的潜在风险。本文将从漏洞原理、影响范围、检测方法到解决方案,系统性地剖析该问题,并提供覆盖开发、运维、安全等多维度的防护策略,助力构建安全可靠的SpringBoot应用体系。
SpringbootActuator信息泄露漏洞利用
热门推荐
JHIII的博客
08-30 4万+
Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信息以及Web请求的详细信息等。如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患(外部人员非授权访问Actuator端点)。...
Springbootactuator配置不当的漏洞利用
独行侠的守望の博客
04-17 1万+
转载地址:https://www.freebuf.com/news/193509.html,学习留存,有疑问请联系本人删除。 Springbootactuator配置不当的漏洞利用 T-T2019-01-14共651761人围观 ,发现12个不明物体WEB安全资讯 *本文原创作者:T-T,本文属FreeBuf原创奖励计划,未经许可禁止转载 前言 Actuator 是 sprin...
SpringbootActuator未授权访问漏洞
潇逗
05-28 1万+
ActuatorSpringBoot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。然而,其默认配置会出现接口未授权访问,导致部分接口会泄露网站数据库连接信息等配置信息,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
Spring Boot Actuator敏感信息泄露漏洞
希望能找到你的答案
05-20 3668
Spring Boot Actuator 提供生产级别的功能,比如监控、追踪、控制,审计,指标收集等,帮助监控和管理Spring Boot 应用。Spring Boot Actuator敏感信息泄露漏洞,比如访问URL: http://xx.xx.xx.xx/actuator/env ,可获取到环境配置信息。
spring boot框架漏洞复现
nemey的博客
11-26 1270
spring - java开源框架有五种版本1: 直接就在根下 /版本2:根下的必须目录 /actuator/端口:9093spring boot搭建1:直接下载源码打包2:运行编译好的jar包:actuator-testbed-0.1.0.jarjdk版本是1.8。
Spring Boot Actuator 漏洞利用
isxiaole的博客
04-12 2780
漏洞利用流程如下: 利用详情参考: https://www.freebuf.com/news/others/234266.html
spring boot相关漏洞之零散笔记
qq_45233918的博客
12-21 4114
这是2016年爆出的一个洞,利用条件是使用了springboot的默认错误页(Whitelabel Error Page),存在漏洞的页面在:/spring-boot-autoconfigure/src/main/java/org/springframework/boot/autoconfigure/web/ErrorMvcAutoConfiguration.java。可以通过 /jolokia/list 接口寻找可以利用的 MBean,间接触发相关 RCE 漏洞、获得星号遮掩的重要隐私信息的明文等。
Springbootactuator 漏洞
wangbaosongmsn的博客
08-17 3888
https://www.cnblogs.com/junsec/p/12066305.html
SpringBoot应用监控Actuator使用的安全隐患
直到世界尽头
04-10 3026
转载:https://xz.aliyun.com/t/2233 ============================================================================================ SpringBoot应用监控Actuator使用的安全隐患 问题阐述 由于系统被扫描出来有安全漏洞,发现访问http://xxxxxx/...
SpringBoot框架&Actuator监控泄漏&Swagger自动化测试
qq_68064663的博客
09-16 1174
Actuator监控泄漏&Swagger自动化测试
Springboot Actuator未授权访问漏洞
qq_68186313的博客
08-05 2208
Actuatorspringboot提供的用来对应用系统进行自省和监控的功能模块,借助于Actuator开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在Actuator启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息,从而导致信息泄露甚至服务器被接管的事件发生。2、当web应用程序出现4xx、5xx错误时显示类似以下页面就能确定当前web应用是使用了springboot框架。3、拼接以下路径查看泄漏的数据。
Day39:安全开发-JavaEE应用&SpringBoot框架&Actuator监控泄漏&Swagger自动化
qq_61553520的博客
03-13 1493
小迪安全-Day39:安全开发-JavaEE应用&SpringBoot框架&Actuator监控泄漏&Swagger自动化
Spring Boot Actuator未授权访问漏洞
05-24
Spring Boot ActuatorSpring Boot提供的一组用于监控和管理应用程序的端点。这些端点包括/health、/info、/metrics等,通过HTTP请求可以获取应用程序的相关信息。 未授权访问漏洞是指攻击者可以通过发送特定的请求,获取到未经授权的应用程序信息。在Spring Boot Actuator中,如果未对端点进行正确的安全配置,攻击者可以通过发送GET请求,获取到应用程序的敏感信息,如应用程序版本、运行状态、数据库连接信息等。 为了避免Spring Boot Actuator未授权访问漏洞的发生,可以采取以下措施: 1. 禁用不必要的Actuator端点:可以通过配置文件或注解的方式禁用不必要的Actuator端点,避免敏感信息泄露。 2. 对Actuator端点进行安全配置:可以通过配置文件或代码的方式Actuator端点进行安全配置,只允许授权用户进行访问。 3. 更新Spring Boot版本:Spring Boot官方已经修复了Actuator未授权访问漏洞,升级到最新版本可以避免此漏洞的发生。 总之,Spring Boot Actuator未授权访问漏洞需要引起开发人员的重视,应该及时采取相应的安全措施,避免应用程序的敏感信息泄露
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值