Spring Boot actuator框架的一些安全考虑

最新推荐文章于 2024-08-02 16:37:52 发布
最新推荐文章于 2024-08-02 16:37:52 发布
阅读量4.4k 收藏 2
点赞数
分类专栏: Micro service Internet Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011687186/article/details/73457498
版权

  微服务铺天盖地的来,引入Spring Boot actuator框架是为了服务作更好的监控与性能查看,Spring Boot actuator是一个为原生端点增加了更多的指标和度量信息,分为应用配置类,度量指标类。操作控制类,但是假如由于开发人员的疏忽把这些监控的请求地址都暴露出来了,攻击者会通过服务的配置信息对服务进行攻击,例如当我们访问/mappings这个返回这个服务控制器映射关系报告,可以查询到所有的服务接口信息包括参数信息,这样太可怕了 都看到了。

那么这么解决呢

1.修改原始的访问路径(在Spring Cloud Eureka环境中)

endpoints.info.path=/appInfo
endpoint.health.path=/checkHealth

eureka.instance.statusPageUrlPath=/${endpoints.info.path}
eureka.instance.healthCheckUrlPath=/${endpoint.health.path}
2.角色管理 

  上面的思路还是感觉不妥只是重定向了~

   思路是我把所有的actuator的访问地址赋予一个角色,这个角色在赋予人 这个人就拥有访问autuator的权限了。

可以使用Spring Cloud Security权限框架 和Shrio权限框架,当然可以写过滤器和拦截器都只是前两者更方便一些。

以Shrio配置为例

filterChainDefinitionMap.put("/notice/refresh", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/pause", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/env", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/env/reset", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/restart", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/autoconfig", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/metrics", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/metrics/**", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/info", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/dump", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/logfile", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/beans", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/health", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/configprops", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/env", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/env/**", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/trace", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/mappings", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/heapdump", "userAuth,roleAuth");
filterChainDefinitionMap.put("/notice/resume", "userAuth,roleAuth");

3.配置管理端口(推荐)

  配置管理端口该端口不对外暴露
  

ShanRui_
关注
专栏目录
Spring Boot Actuator 漏洞复现合集
drnrrwfs的博客
06-12 9665
Spring Boot Actuator 未授权访问漏洞在日常的测试中还是能碰到一些的,这种未授权在某些情况下是可以达到RCE的效果的,所以还有有一定价值的,下面就是对这一系列漏洞复现。基本上就是参考这篇文章的做的复现:LandGrey/SpringBootVulExploit: SpringBoot 相关漏洞学习资料,利用方法和技巧合集,黑盒安全评估 check list (github.com)Spring Boot Actuator端点通过 JMX 和HTTP 公开暴露给外界访问,大多数时候我们使用基
spring boot actuator 安全配置 springboot安全
lvyuanj的专栏
03-28 1117
如果您希望端点启用是选择加入而不是选择退出,请将management.endpoints.enabled-by-default 属性设置为false 并使用单个端点enabled 属性重新加入。**启用端点:**默认情况下,启用除shutdown 之外的所有端点。要配置端点的启用,请使用其management.endpoint…enabled 属性。处理方法一:只针对端点请求进行权限校验。加入security安全验证框架。需要上下午url对进行处理;方案二:定制端点信息。
可造成敏感信息泄露!Spring BootActuator信息泄露漏洞三种利用方式总结
最新发布
WangsuSecurity的博客
08-02 2659
如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患。其中heapdump作为Actuator组件最为危险的Web端点,因未授权访问被恶意人员获取后进行分析,可进一步获取敏感信息。
Springbootactuator 漏洞
wangbaosongmsn的博客
08-17 3780
https://www.cnblogs.com/junsec/p/12066305.html
SpringbootActuator未授权访问漏洞
潇逗
05-28 5181
ActuatorSpringBoot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。然而,其默认配置会出现接口未授权访问,导致部分接口会泄露网站数据库连接信息等配置信息,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
Spring Boot Actuator执行器运行原理详解
08-24
Spring Boot Actuator 执行器是 Spring Boot 框架中的一种功能强大且实用的模块,用于监视和管理 Spring Boot 应用程序。在本文中,我们将详细介绍 Spring Boot Actuator 执行器的运行原理,并通过示例代码对其进行...
spring-boot-actuator-logview:简单的日志文件查看器作为 Spring Boot 执行器端点
05-31
spring-boot-actuator-logview 简单的日志文件查看器作为 Spring Boot 执行器端点 ##特征 允许快速访问 spring-boot web 应用程序日志文件 使用执行器框架提供管理端点 列出日志文件夹内容 查看个人日志文件 查看...
详解配置spring-boot-actuator时候遇到的一些小问题
08-28
下面是配置 Spring Boot Actuator 遇到的一些小问题的解决方案。 1. 保证 Actuator 暴露接口的安全性 可以加入依赖 `<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-...
spring框架漏洞整理(Spring Boot Actuator命令执行漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 997
spring框架漏洞整理之CNVD-2019-11630 Spring Boot Actuator命令执行漏洞 https://www.veracode.com/blog/research/exploiting-spring-boot-actuators# 这个漏洞并不像是单一的问题产生,更像是一个渗透入侵的过程。有大概5个值得在意的知识点 1、Spring Boot 1-1.4,无需身份验证即可访问以下敏感路径,而在 2.x 中,存在于 /actuator 路径下。 /dump-显示线程转储(包括堆栈跟踪
Java Spring Boot 2.0性能监控实战与Actuator机制解析
weixin_33835690的博客
01-15 294
内容摘要:应用程序性能监控和日志采集管理是非常重要问题,Java Spring Boot网站、API等应用程序如何进行远程性能监控、日志采集,远程控制,本次课程一起深入学习Actuator新特性与API机制。APM是分布式系统运维非常重要的知识点,开源社区许多经典的分布式性能监控方案。 Java Spring Boot2.0不进允许性能监控,还可以进行远...
SpringBoot 未授权访问漏洞挖掘
菜鸟的自学之路
04-15 3522
HeapDump内存泄露漏洞复现
【漏洞预警】Spring Boot Actuator未授权访问远程代码执行漏洞[转]
热门推荐
loongshawn的博客
04-26 1万+
Spring Boot Actuator漏洞描述 事件 2019年2月28日,阿里云云盾应急响应中心监测到有国外安全研究人员披露Spring Boot Actuator模块中间件存在未授权访问远程代码执行漏洞。 漏洞描述 ActuatorSpring Boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚...
SpringBoot Actuator RCE 漏洞总结
渗透测试研究中心
03-01 3048
一、SpringBoot env 获取* 敏感信息当我们直接访问 springboot 站点时,可以看到某些 password 字段填充了*通过${name} 可以获取明文字段 2. 配置不当导致敏感信息泄露(password 打星号,而 pwd 没有打星号)参考https://mp.weixin.qq.com/s/HmGEYRcf1hSVw9Uu9XHGsA具体实现过程:例如: 我...
Springbootactuator配置不当的漏洞利用
独行侠的守望の博客
04-17 1万+
转载地址:https://www.freebuf.com/news/193509.html,学习留存,有疑问请联系本人删除。 Springbootactuator配置不当的漏洞利用 T-T2019-01-14共651761人围观 ,发现12个不明物体WEB安全资讯 *本文原创作者:T-T,本文属FreeBuf原创奖励计划,未经许可禁止转载 前言 Actuator 是 sprin...
服务端性能监控—— Spring Boot Actuator
平台开发组技术博客
03-30 1041
服务端性能监控最佳实践—— Spring Boot Actuator介绍 监控后台服务是否正常运行,有很多指标需要我们关注,一是机器本身的状态,比如CPU利用率、磁盘使用率、内存、网络等,通过这些来判断机器是否运行正常。这些是属于机器指标,一般云服务商会提供。今天我们要分析的是程序的性能指标,因为即使机器正常,但程序可能已经挂了。 对java程序来说,我们主要关注JVM的状态是否正常,希望能把一般...
Spring Boot Actuator详解与漏洞利用
做自己喜欢的事,并将其发挥到极致!
08-19 6699
由Pivotal团队提供的全新框架,其设计的目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。ActuatorSpring Boot提供的对应用系统的监控和管理。
关于Spring Boot Actuator漏洞补救方案
qq_39712282的博客
01-30 9276
SpringbootActuator信息泄露漏洞问题
Spring Boot Actuator深度解析:微服务监控实践
Spring Boot ActuatorSpring Boot框架的一部分,它提供了一组丰富的端点(endpoints),用于监控和管理应用程序。这个强大的工具允许开发者和运维人员深入了解应用的运行状态,包括健康检查、日志输出、环境变量、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值