Spring Boot应用集成Actuator端点自定义Filter解决未授权访问的漏洞

已于 2024-02-20 20:33:03 修改
阅读量2.3k 收藏 19
点赞数 23
分类专栏: springboot java web 文章标签: spring boot 后端 java actuator 未授权
于 2024-02-19 22:51:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/C_AJing/article/details/136179796
版权

一、前言

我们知道想要实时监控我们的应用程序的运行状态,比如实时显示一些指标数据,观察每时每刻访问的流量,或者是我们数据库的访问状态等等,需要使用到Actuator组件,但是Actuator有一个访问未授权问题,简单说就是其他人可以通过Actuator组件暴露的URL进行端点信息访问,甚至shutdown应用。那么我们有没有什么解决方法呢?

二、解决方案(Actuator端口与应用端口一致)

我们创建一个spring Boot项目进行演示说明。思路就是对spring Boot actuator暴露的URL访问时,增加携带用户名、密码,同时增加一个Filter进行拦截,为了防止密码泄露,需要对密码进行加密配置,由于后端需要进行对比密码,所以我们需要采用对称加密,这里我们采用SM4加密算法,可以参考博文:

使用SM4国密加密算法对Spring Boot项目数据库连接信息以及yaml文件配置属性进行加密配置(读取时自动解密)

为什么不采用主流的集成Spring Security组件呢,出于两方面考虑:

  • 集成Spring Security相对Filter来说比较重量级
  • 集成Spring Security进行Actuator端点认证可能会与原有业务安全认证冲突

2.1 创建spring Boot项目,导入相关依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
<dependency>
    <groupId>org.bouncycastle</groupId>
    <artifactId>bcprov-jdk15to18</artifactId>
    <version>1.76</version>
</dependency>

<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-all</artifactId>
    <version>5.8.25</version>
</dependency>

2.2 增加相关配置

management:
  endpoints:
    web:
      exposure:
        include: health

2.3 启动验证

在这里插入图片描述

2.4 授权改造

2.4.1 增加自定义配置
management:
  endpoints:
    web:
      exposure:
        include: health
        whiteUrl:   # 白名单,配置白名单的URL请求时不需要验证,多个可以用英文逗号分隔
    user: admin # 认证用户
    password: '@SM4@-HUYu9S6osKi65pZr7YQO9w=='  # 认证用户密码 SM4Utils.encryptStr("password")
2.4.2 自定义授权过滤器逻辑
package com.learn.filter;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.learn.SM4Utils;
import org.springframework.http.MediaType;
import org.springframework.util.StringUtils;
import sun.misc.BASE64Decoder;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.nio.charset.StandardCharsets;

public class ActuatorFilter implements Filter {

    private String[] whiteUrl;

    private String user;

    private String password;

    public ActuatorFilter(String whiteUrl, String user, String password) {
        this.whiteUrl = whiteUrl == null ? null : whiteUrl.split(",");
        this.user = user;
        this.password = password;
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        boolean flag = false;
        HttpServletRequest httpServletRequest = ((HttpServletRequest) servletRequest);
        String url = httpServletRequest.getRequestURI();
        // 判断是否是白名单
        if (whiteUrl != null && whiteUrl.length != 0) {
            for (String str : whiteUrl) {
                if (url.equals(str)) {
                    flag = true;
                    break;
                }
            }
        }
        if (flag) { // 如果是白名单则直接放行
            filterChain.doFilter(servletRequest, servletResponse);
        } else {
            if (StringUtils.hasText(user) && StringUtils.hasText(password)) { // 如果配置用户名密码
                String authorization = httpServletRequest.getHeader("authorization");
                if (StringUtils.hasText(authorization)) { // Basic YWRtaW46YWRtaW4=
                    user = SM4Utils.decryptStr(user);
                    password = SM4Utils.decryptStr(password); // @Value注入可以自动解密,这里手动解密
                    String auth = authorization.replace("Basic ", "");
                    auth = new String(new BASE64Decoder().decodeBuffer(auth), StandardCharsets.UTF_8);
                    String[] authArr = auth.split(":");
                    if (user.equals(authArr[0]) && password.equals(authArr[1])) { //如果用户名密码都可以匹配上则进行放行
                        filterChain.doFilter(servletRequest, servletResponse);
                    } else {
                        errorHandler((HttpServletResponse) servletResponse, "user or password info error!");
                        return;
                    }
                } else {
                    errorHandler((HttpServletResponse) servletResponse, "Authorization info must be not null");
                    return;
                }
            } else { // 如果没有配置用户名密码则直接放行
                filterChain.doFilter(servletRequest, servletResponse);
            }

        }
    }

    /**
     * 异常处理
     *
     * @param response
     * @param msg
     * @throws IOException
     */
    private void errorHandler(HttpServletResponse response, String msg) throws IOException {
        response.setContentType(MediaType.APPLICATION_JSON_VALUE);
        response.setCharacterEncoding(StandardCharsets.UTF_8.name());
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);

        ObjectMapper objectMapper = new ObjectMapper();

        PrintWriter writer = response.getWriter();
        writer.write(objectMapper.writeValueAsString(msg));
        writer.close();

    }
}
2.4.3 注册Filter生效
import com.learn.filter.ActuatorFilter;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class ActuatorConfig {

    @Value("${management.endpoints.web.exposure.whiteUrl:}")
    private String whiteUrl;

    @Value("${management.endpoints.user:}")
    private String user;

    @Value("${management.endpoints.password:}")
    private String password;

    @Bean
    public FilterRegistrationBean filterRegistrationBean() {
        FilterRegistrationBean<ActuatorFilter> filterRegistrationBean = new FilterRegistrationBean<>();
        filterRegistrationBean.setFilter(new ActuatorFilter(whiteUrl, user, password));
        filterRegistrationBean.addUrlPatterns("/actuator/*");
        filterRegistrationBean.setName("ActuatorFilter");
        return filterRegistrationBean;
    }

}

2.5 功能测试

  • 成功
    注意:URL格式: http://明文user:明文password@ip:port/actuator/health
    前端访问时需要携带密码,后端配置密码进行了加密,防止密码泄露。
    在这里插入图片描述

  • 失败

在这里插入图片描述

此时访问actuator端点都需要携带用户名密码了。

三、解决方案(Actuator端口与应用端口不一致)

众所周知,spring Boot Actuator组件的端口是可以自定义配置的,如果是自定义配置端口,那么上面的Filter不会生效,那么要怎么处理呢。

测试密码错误,此时还是会正常返回:

在这里插入图片描述

3.1 增加自定义端口配置

server:
  port: 8080
  
management:
  server:
    port: 9999
  endpoints:
    web:
      exposure:
        include: health
        whiteUrl:   # 白名单,配置白名单的URL请求时不需要验证,多个可以用英文逗号分隔
    user: admin # 认证用户
    password: '@SM4@-HUYu9S6osKi65pZr7YQO9w=='  # 认证用户密码 SM4Utils.encryptStr("password")

3.2 修改Filter逻辑,增加Actuator端口判断

import com.fasterxml.jackson.databind.ObjectMapper;
import com.learn.SM4Utils;
import org.springframework.http.MediaType;
import org.springframework.util.StringUtils;
import sun.misc.BASE64Decoder;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.nio.charset.StandardCharsets;

public class ActuatorFilter implements Filter {

    private String[] whiteUrl;

    private String user;

    private String password;

    /**
     * actuator端口
     */
    private Integer actuatorPort;

    public ActuatorFilter(String whiteUrl, String user, String password, Integer actuatorPort) {
        this.whiteUrl = whiteUrl == null ? null : whiteUrl.split(",");
        this.user = user;
        this.password = password;
        this.actuatorPort = actuatorPort;
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest httpServletRequest = ((HttpServletRequest) servletRequest);

        int serverPort = httpServletRequest.getServerPort();
        if (actuatorPort != null && serverPort == actuatorPort) { // 判断是否是actuator端口
            boolean flag = false;
            String url = httpServletRequest.getRequestURI();
            // 判断是否是白名单
            if (whiteUrl != null && whiteUrl.length != 0) {
                for (String str : whiteUrl) {
                    if (url.equals(str)) {
                        flag = true;
                        break;
                    }
                }
            }
            if (flag) { // 如果是白名单则直接放行
                filterChain.doFilter(servletRequest, servletResponse);
            } else {
                if (StringUtils.hasText(user) && StringUtils.hasText(password)) { // 如果配置用户名密码
                    String authorization = httpServletRequest.getHeader("authorization");
                    if (StringUtils.hasText(authorization)) { // Basic YWRtaW46YWRtaW4=
                        user = SM4Utils.decryptStr(user);
                        password = SM4Utils.decryptStr(password); // @Value注入可以自动解密,这里手动解密
                        String auth = authorization.replace("Basic ", "");
                        auth = new String(new BASE64Decoder().decodeBuffer(auth), StandardCharsets.UTF_8);
                        String[] authArr = auth.split(":");
                        if (user.equals(authArr[0]) && password.equals(authArr[1])) { //如果用户名密码都可以匹配上则进行放行
                            filterChain.doFilter(servletRequest, servletResponse);
                        } else {
                            errorHandler((HttpServletResponse) servletResponse, "user or password info error!");
                            return;
                        }
                    } else {
                        errorHandler((HttpServletResponse) servletResponse, "Authorization info must be not null");
                        return;
                    }
                } else { // 如果没有配置用户名密码则直接放行
                    filterChain.doFilter(servletRequest, servletResponse);
                }

            }
        } else {
            filterChain.doFilter(servletRequest, servletResponse);
        }

    }

    /**
     * 异常处理
     *
     * @param response
     * @param msg
     * @throws IOException
     */
    private void errorHandler(HttpServletResponse response, String msg) throws IOException {
        response.setContentType(MediaType.APPLICATION_JSON_VALUE);
        response.setCharacterEncoding(StandardCharsets.UTF_8.name());
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);

        ObjectMapper objectMapper = new ObjectMapper();

        PrintWriter writer = response.getWriter();
        writer.write(objectMapper.writeValueAsString(msg));
        writer.close();

    }
}

3.3 修改Filter注册逻辑

import com.learn.filter.ActuatorFilter;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.env.Environment;

@Configuration
public class ActuatorConfig {

    @Bean
    public ActuatorFilter actuatorFilter(Environment environment) {
        String whiteUrl = environment.getProperty("management.endpoints.web.exposure.whiteUrl");
        String user = environment.getProperty("management.endpoints.user");
        String password = environment.getProperty("management.endpoints.password");
        String portStr = environment.getProperty("management.server.port");
        Integer port = portStr == null ? null : Integer.parseInt(portStr);

        return new ActuatorFilter(whiteUrl, user, password, port);
    }

}

3.4 注册ManagementContextConfiguration

这是最重要的一步,需要配置ManagementContextConfiguration,不然Filter依旧不会生效:

resource目录下新建META-INF目录,新建spring.factories文件

在这里插入图片描述

增加内容:

org.springframework.boot.actuate.autoconfigure.web.ManagementContextConfiguration=\
  com.learn.config.ActuatorConfig

3.5 测试

在这里插入图片描述

此时密码错误情况下就进行拦截了

Coder-文小白
关注
专栏目录
Hadoop,ActiveMQ,RabbitMQ,Springboot Actuator授权访问漏洞(附带修复方法)
C233333235的博客
08-09 2303
Hadoop是⼀个由Apache基⾦会所开发的分布式系统基础架构,由于服务器直接在开放了Hadoop 机器 HDFS 的 50070 web 端⼝及部分默认服务端⼝,⿊客可以通过命令⾏操作多个⽬录下的数据,如进⾏删除,下载,⽬录浏览甚⾄命令执⾏等操作,产⽣极⼤的危害。在 Actuator 启⽤的情况下,如果没有做好相关权限控制,⾮法⽤户可通过访问默认的执⾏器端点(endpoints)来获取应⽤系统中的监控信息,从⽽导致信息泄露甚⾄服务器被接管的事件发⽣。默认情况下,ActiveMQ服务是没有配置安全参数。
SpringBoot Actuator授权访问漏洞修复
JHIII的博客
08-25 2万+
目前SpringBoot得框架,越来越广泛,大多数中小型企业,在开发新项目得时候。后端语言使用java得情况下,首选都会使用到SpringBoot。在很多得一些开源得框架中,例如: ruoyi若以,这些。不知道是出于什么原因?我们都会在这些框架中得pom文件中找到的依赖。嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件中;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。例如下面:对于这些漏洞,我们开始修复喽!!!
Spring Boot 授权访问漏洞利用
bmaoHk的博客
10-04 1975
Spring Boot是由Pivotal团队提供的一套开源框架,可以简化spring应用的创建及部署。它提供了丰富的Spring模块化支持,可以帮助开发者更轻松快捷地构建出企业级应用Spring Boot通过自动配置功能,降低了复杂性,同时支持基于JVM的多种开源框架,可以缩短开发时间,使开发更加简单和高效,在应用系统中占比较大。因此当某些端点存在配置不当的时候,就有可能导致一些系统信息泄露、 RCE 等安全问题。● Spring Boot 1.x版本端点在根URL下注册。
Spring Boot Actuator授权访问排查和整改指南
热门推荐
weixin_44106034的博客
10-19 2万+
1、信息泄露:授权访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对授权用户开放。2、系统破坏:攻击者可以通过Actuator端点授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
SpringbootActuator授权访问漏洞
潇逗
05-28 7571
ActuatorSpringBoot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。然而,其默认配置会出现接口授权访问,导致部分接口会泄露网站数据库连接信息等配置信息,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
Springboot Actuator授权访问漏洞
weixin_53736204的博客
08-05 423
Actuatorspringboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息,从而导致信息泄露甚至服务器被接管的事件发生。Actuatorspringboot 提供的用来对应用系统进行自省和监控的功能模块。步骤二:拼接以下路径查看泄露的数据.
Spring Boot Actuator授权访问漏洞
qq_35456400的博客
08-10 1万+
Spring Boot Actuator 端点授权访问漏洞是一个安全性问题,可能会导致授权的用户访问敏感的应用程序信息。可是并不用太过担心,Spring Boot Actuator 默认暴漏的信息有限,一般情况下并不会暴露敏感数据。注册中心有些功能集成actuator,如果同时使用eureka和actuator,可以在eureka中点击注册链接查看健康状态信息(/actuator/info)。
SpringBoot开发——整合Actuator监控和管理Spring Boot 应用
最新发布
bjzhang75的博客
10-10 1460
SpringBoot整合Actuator监控和管理Spring Boot 应用
Spring Boot(六十四):SpringBoot集成Gzip压缩数据
08-16
Spring Boot Actuator提供了一些健康检查和监控端点,其中也包括了一个`GzipHandlerInterceptor`,可以用来自动处理Gzip压缩。启用Actuator并添加相应的拦截器配置即可。 ### 3. 配置与优化 - **设置响应头**:在...
SpringBoot编程基础教程:Spring Boot Actuator
AI天才研究院
10-25 140
作者:禅与计算机程序设计艺术 1.背景介绍 在实际开发中,我们通常需要监控应用系统的状态、性能指标等信息,比如应用运行时的JVM信息、线程池情况、数据库连接池状态、缓存命中率、请求延时等。这些数据可以帮助我们做到系统可靠性的维护和服务质量的提高。传统的监控手段主要基于硬件设备或软件工具实现,而基于云
Spring Boot面试题(最新版)-重点.pdf
10-05
如何在Spring Boot中禁用Actuator端点安全性?可以通过配置management.security.enabled=false来关闭Actuator的所有端点安全性。 我们如何监视所有Spring Boot微服务?可以使用Spring Cloud Bus和Actuator的...
Spring Boot Actuator应用监控
寒武没有纪
06-17 6761
介绍 Spring boot Actuator 提供了一系列的端点来监控和度量应用,包括应用上下文全部Bean信息,自动化配置报告(显示自动配置条件是否通过),配置属性信息,显示应用健康状态等。 环境 Spring Boot 2.0.3 测试 1.初始化一个Spring boot工程,添加actuator依赖: &amp;amp;amp;lt;dependency&amp;amp;amp;gt; &amp;amp;amp;lt;grou...
Spring Boot Actuator授权访问漏洞和Apache Druid 漏洞修复
songshao の blog
06-24 1万+
Spring Boot Actuator授权访问漏洞 详细描述 ​ Actuatorspringboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。 解决办法 1.配置认证 在项目的pom.xml文件下引入spring-boot-starter-security依赖
web渗透测试漏洞复现:Springboot Actuator授权漏洞复现
HACKONE的博客
03-28 2097
pring Boot ActuatorSpring Boot 框架中非常重要的一个模块,设计用于增强应用程序在生产环境中的可观察性和管理能力。Actuator 提供了一系列内建的端点(Endpoints),这些端点可通过 HTTP 或 JMX 接口暴露应用的健康状况、度量指标、审计信息、环境属性、 Beans 列表等多种内部状态信息。
Spring Boot后端Actuator授权访问漏洞解决
qq_46119575的博客
01-05 1万+
Spring Boot后端Actuator授权访问漏洞解决
Springboot Admin 整合 Spring Security 服务端与客户端加密,解决Actuator授权访问漏洞
qq_44785123的博客
05-21 553
2、编写配置文件 3、编写配置类 4、启动项加注解 二、客户端-普通客户端 1、添加pom 2、编写配置文件 3、编写配置类 三、客户端-网关-SpringCloudGateway SpringCloud Gateway 网关作为 Springboot Admin客户端时,配置和普通客户端有所不同 2、编写配置文件 和普通客户端配置相同 四、注意事项 1、注册中心 如果使用eureka作为注册中心,客户端更改如下配置
springboot Actuator授权访问漏洞
qq_45382625的博客
08-29 904
Spring Boot 2.X 中,Actuator 默认开放 health 和 info 两个端点,如果需要配置开放所有端点(配置值为 "*" 代表所有)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Coder-文小白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值