springboot集成actuator安全问题

最新推荐文章于 2025-04-25 10:21:35 发布
最新推荐文章于 2025-04-25 10:21:35 发布
阅读量877 收藏
点赞数 1
分类专栏: springboot 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_37682665/article/details/114119038
版权

记录一次springboot使用actuator作为监控的安全问题:

image-20210226101646408

服务器突然出现大量报错,如mybatis报错,sql检查没问题。

观察同一时间的请求日志,发现多个如下请求:

image-20210226101510073 image-20210226101522212
  • /actuator/env请求可以修改环境变量参数,包括linux操作系统命令

存在问题

image-20210226105011740

  1. springboot actuator提供了很多暴露接口用于开发人员获取对应的监控信息,如info、mappings等,当然也有一些接口可能导致环境变量被修改

  2. 如果集成了HikariCP作为数据库连接池:该连接池有个提供连接前执行sql的配置spring.datasource.hikari.connection-test-query,这就很容易导致一些sql侵入命令的执行

解决方式

配置参数management.endpoints.web.exposure.include管理好需要暴露的接口,尽量不要使用*。

参考文档

actuator参数官方文档

SpringBoot笔记17】SpringBoot集成Actuator依赖获取应用程序监控信息
✅ Java 开发工程师,从事 Web 应用程序的研发,擅长 Spring、SpringBoot 等技术。 ✅ 热爱编程,业余时间学习新知识,通过 优快云 记录学习心得和笔记内容。
10-29 1063
actuator模块,提供了很多的HTTP接口地址,这些接口可以获取到监控的信息,这些接口一般被叫做:端点,英文名称:EndpointsActuatorSpringBoot框架中的一个子工程模块,这个actuator模块提供了监控和管理SpringBoot应用程序的功能,例如:健康检查、审计、指标收集等功能,官方文档点击这里【通过shutdown端点,可以很优雅的实现停止应用程序的操作,默认情况下,shutdown是未启用的,我们需要通过enabled启用shutdown端点。1.4、端点启用和关闭。
SpringBoot深入浅出系列】SpringBootActuator,让应用监控与管理变得简单高效
邓邓子的博客
01-21 1252
Spring Boot ActuatorSpring Boot 的一个重要模块,它为 Spring Boot 应用提供了众多生产级别的特性,用于对应用进行监控和管理。通过 Actuator,我们可以获取应用的各种运行时信息,如健康状况、性能指标、环境变量等,还能对应用进行一些动态的操作,如刷新配置、关闭应用等。Actuator 的这些功能对于保障应用在生产环境中的稳定运行至关重要。
SpringBoot应用监控Actuator使用隐患及解决方案
weixin_44554055的博客
07-04 1333
SpringBootActuator 模块提供了生产级别的功能,比如健康检查,审计,指标收集,HTTP 跟踪等,帮助我们监控和管理Spring Boot 应用。这个模块是一个采集应用内部信息暴露给外部的模块,如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信息以及Web请求的详细信息等(上述的功能都可以通过HTTP 和 JMX 访问)。如果使用不当或者一些不经意的疏忽,可能造成信息泄露等严重的安全隐患。(PS:楼主这里就因为某同事的疏忽上线后被检测到未授权访问然后勒令整改的)
spring boot actuator 安全配置 springboot安全
lvyuanj的专栏
03-28 1464
如果您希望端点启用是选择加入而不是选择退出,请将management.endpoints.enabled-by-default 属性设置为false 并使用单个端点enabled 属性重新加入。**启用端点:**默认情况下,启用除shutdown 之外的所有端点。要配置端点的启用,请使用其management.endpoint…enabled 属性。处理方法一:只针对端点请求进行权限校验。加入security安全验证框架。需要上下午url对进行处理;方案二:定制端点信息。
如何在Spring Boot中禁用Actuator端点安全
最新发布
lssffy的博客
04-25 1053
完全禁用 Spring Security:通过移除依赖或排除,简单但影响全局。配置 Security 规则:通过允许公开,灵活且保留业务 API 保护。排除 Actuator Security 配置:禁用,精确且适合过渡。原理上,Actuator 安全性由 Spring Security 的过滤器链控制,禁用需调整自动配置或规则。代码示例展示了配置和验证步骤,性能测试表明方法 1 最快(1.5ms/请求)。案例分析显示,三种方法适配开发、内网和生产过渡场景。
Springboot actuator不可不注意的安全问题-可越权-可脱库
Spontaneous_0的博客
01-13 207
Springboot actuator不可不注意的安全问题-可越权-可脱库
可造成敏感信息泄露!Spring BootActuator信息泄露漏洞三种利用方式总结
热门推荐
WangsuSecurity的博客
08-02 1万+
如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患。其中heapdump作为Actuator组件最为危险的Web端点,因未授权访问被恶意人员获取后进行分析,可进一步获取敏感信息。
SpringBoot应用监控——Actuator安全隐患及解决方案
Java知音
07-29 3449
点击关注公众号,实用技术文章及时了解来源:blog.csdn.net/u013087026/article/details/109536552概述微服务作为一项在云中部署应用和服务的新技术...
SpringBoot开发——整合Actuator监控和管理Spring Boot 应用
bjzhang75的博客
10-10 2121
SpringBoot整合Actuator监控和管理Spring Boot 应用
springboot集成普罗米修斯(Prometheus)的方法
08-18
SpringBoot集成普罗米修斯(Prometheus)的方法 SpringBoot集成普罗米修斯(Prometheus)的方法主要介绍了如何将普罗米修斯集成SpringBoot项目中,实现metrics的收集和监控。普罗米修斯是一套开源的系统监控报警框架...
springboot集成actuator配置分位数
neheqi的博客
03-31 778
springboot集成actuator,其中Summary类型指标没有分位数指标(quantile)。 搜遍中文互联网,没有看到相关文章。 properties management.metrics.web.server.request.autotime.percentiles=0.25,0.5,0.75,0.95,0.99 yml management: metrics: web: server: request: autotime:
SpringBoot 监控管理模块actuator没有权限的问题解决方法
08-28
主要介绍了SpringBoot 监控管理模块actuator没有权限的问题解决方法,需要的朋友可以参考下
SpringBoot应用监控Actuator合理使用避免安全问题
zhonghua881016的博客
11-06 693
使用springboot时,我们在开发环境或者生产环境上使用一些Actuator一些端点,如何做到安全暴露。
Java安全SpringBoot&Actuator&监控泄露&Swagger自动化
2301_76227305的博客
12-13 1863
本次主要讲了Actuator和swagger这两个常见的SpringBoot组件,主要的利用点都是信息泄露。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
Spring Boot Actuator 基本配置以及使用 Shiro 进行安全认证
梦想触手可及
05-31 2049
***模块提供了生产级别的功能,比如健康检查、审计、指标收集、HTTP跟踪等,帮助我们更好地管理 **_Spring Boot _**应用。
SpringBoot 整合 actuator 实现应用监控
码出精彩
11-20 828
SpringBoot 整合 actuator 实现应用监控
关于Spring Boot Actuator漏洞补救方案
qq_39712282的博客
01-30 1万+
SpringbootActuator信息泄露漏洞问题
Springboot整合Actuator监控
zhangziqi1988的博客
08-23 375
1.添加pom依赖 org.springframework.boot spring-boot-starter-actuator 1.5.21.RELEASE 2.yml文件中如果关闭安全配置,则会显示actuator监控的全部信息 management: security: enabled: false 但是一般不会关闭安全配置,如果开启安全配置,一般会自定义actuator监控信息 3.比如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值