以Spring Boot Actuator 未授权访问为入口

最新推荐文章于 2024-07-23 15:37:29 发布
最新推荐文章于 2024-07-23 15:37:29 发布
阅读量1.3k 收藏
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MartinDingH/article/details/125447175
版权

最近在公司从一波漏扫中扫到一个Spring Boot Actuator 未授权访问漏洞,于是研究了一下,技术有限,希望大佬多提提宝贵意见,谢谢啦。

首先,发现漏洞后查看/actuator目录,发现确实存在未授权访问。

本想查看一下env目录,听说又可以利用的信息,但是报404,可能设置了禁止访问吧。

然后访问了configprops目录,发现了redis的IP和端口,端口就是redis的默认端口6379.

想看下redis存不存在未授权访问,连了一下发现要认证,看来还是我想的轻松了。

于是下载了heapdump信息,使用MAT查看可以获得redis密码还有一些其他密码,技术有限不知道咋利用

然后kali直接连redis,输入密码,进去了。

后面可以写入shell或者ssh免密登录,就没继续做了。

技术有限,有不足的地方希望可以和大佬学习。

MartinDingH
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Boot - spring-boot-starter-actuator
学无止境
06-11 1534
spring-boot-starter-actuator 是一个 Spring Boot提供的模块,用于监控和管理应用程序的运行时信息。它提供了一组内置的端点(endpoints),用于获取应用程序的健康状态、性能指标、配置信息等。此外,spring-boot-starter-actuator 还提供了其他一些功能,如远程 shell,审计日志,配置刷新等。请注意,为了保证应用程序的安全性,强烈建议在生产环境中限制对 Actuator 端点的访问,并仅暴露必要的端点。
Spring Boot 3.x 系列【34】服务监控 | Spring Boot Actuator 入门案例
记录知识、锤炼自我
05-19 750
Spring Boot ActuatorSpring Boot除了自动配置外另一个重要的核心功能,提供了spring-boot-actuator模块用于后台应用程序运行监控、指标收集、审计等功能,可以通过使用HTTP端点或使用JMX来管理和监控你的应用程序。
Spring Boot后端: Actuator授权访问漏洞解决
热门推荐
qq_46119575的博客
01-05 1万+
Spring Boot后端: Actuator授权访问漏洞解决
SpringbootActuator授权访问漏洞
潇逗
05-28 3053
ActuatorSpringBoot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。然而,其默认配置会出现接口授权访问,导致部分接口会泄露网站数据库连接信息等配置信息,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
Spring Boot Actuator
thulium_kyg的博客
10-29 150
Spring boot Actuator组件
Spring Boot Actuator 整合 Security
qq_28603127的博客
12-20 2839
Actuator介绍链接 Actuatorspring(boot)中 应用监控功能(应用运行环境已经运行状况) Security是spring(boot)中 安全性保证(登陆、权限等) 将两者整合是为了完成只有admin用户才可以访问查看应用监控的功能,并且spring提供的这两个模块刚好可以使我们以最快的速度完成开发。 一个最简单的案例 首先依赖 <dependency> ...
Spring Boot项目整合Actuator
liulianglin的专栏
03-15 224
1.前言 Spring Boot Actuator是监控系统健康情况的工具,可以帮助我们监控和管理Spring Boot应用,比如健康检查、审计、统计和HTTP追踪等,所有的这些特性可以通过JMX或者HTTP endpoints来获得。 常用端点如下: 端点 描述 HTTP方法 autoconfig 显示自动配置的信息 GET beans 显示应用程序上下文的所有Spring Bean GET configprops 显示所有@Conf..
Spring Boot 2 Actuator监控系统
neweastsun的专栏
10-05 1898
Spring Boot 2 Actuator监控系统 本文介绍Spring Boot2 Actuator,首先介绍基础概念,接着学习如何使用、配置、扩展这个监控工具。 1. 什么是 Actuator Actuator提供产品级的功能特性,使得监控应用、收集指标和流量、数据库状态变得非常简单。该库的主要优势是能够获得产品级工具,无需自己实际实现。主要用于暴露正在运行系统的操作信息,包括健康状态、指标信息、系统及环境信息等。可以使用HTTP或JMX方式进行通信交互。 只要加入依赖,默认提供几个健康端点可用,对于
Spring Boot Actuator-WEB Endpoints
爪哇岛咖啡种植农场
12-15 4407
Spring Boot Actuator-WEB Endpoints
Spring Boot Actuator 健康检查
渡灬魂的博客
04-25 906
Spring Boot Actuator 健康检查介绍实现功能及注意 介绍 ActuatorSpring Boot提供的对应用系统的自省和监控的集成功能,可以对应用系统进行配置查看、健康检查、相关功能统计等 实现 加依赖 <dependency> <groupId>org.springframework.boot</groupId> &lt...
spring boot demo
01-07
- Spring Boot Actuator Gradle插件:为Gradle项目添加Actuator功能。 8. **最佳实践** - 避免过度配置,利用Spring Boot的默认配置。 - 使用Profile来区分开发、测试和生产环境。 - 利用Spring Cloud扩展...
Spring Boot 进阶笔记(详细全面) 中文PDF完整版.pdf
05-08
Spring Boot 是一个由 Pivotal 团队开发的框架,旨在简化基于 Spring Framework 的应用程序的初始设置和开发过程。它的核心理念是“约定优于配置”,这意味着 Spring Boot 在默认情况下已经预设了很多常用的配置,...
头歌Spring Boot初体验.rar
05-27
由于内嵌了Web服务器,Spring Boot应用可以直接打包为可执行的JAR或WAR文件。执行JAR文件,应用就能以独立服务的形式运行。 10. **Spring Boot Actuator** Actuator提供了诸如健康检查、审计、指标、日志等管理...
Spring Boot源码(spring-boot-2.6.2.zip)
01-07
Spring Boot是Java开发中的一个关键框架,它简化了基于Spring的应用程序开发流程。Spring Boot 2.6.2是该框架的一个稳定版本,提供了一系列增强的功能和改进。在这个版本中,我们将深入探讨Spring Boot的核心特性、...
spring-boot学习与总结
03-05
总的来说,Spring Boot以其简洁、高效的特性,极大地提升了开发效率,使得开发者可以更加专注于业务逻辑,而不是框架的配置和整合。在实际项目中,结合Spring Cloud等微服务工具,能够构建出高可用、易扩展的现代化...
微软蓝屏”事件暴露了网络安全哪些问题?
2301_79339087的博客
07-23 1454
微软蓝屏事件不仅暴露了软件更新中的问题,更是一次对全球网络安全和系统稳定性的严峻考验。通过加强风险管理、质量控制、冗余设计和应急响应,我们可以在来减少类似事件的发生,提高整体网络安全水平。各行业应加强合作,信息共享,共同提升应对重大系统故障的能力,构建更加稳固和安全的网络环境。在来,我们需要更加关注软件更新过程中的风险管理和质量控制,通过引入更多的自动化工具和流程,提高测试的覆盖率和效率,确保软件的安全性和稳定性。
网络安全-华为华三交换机防火墙日志解析示例
最新发布
PanDD_0_1的博客
07-23 326
华为交换机日志解析示例。
网站验证:确保网络安全与信任的重要步骤
07-22 303
在数字时代,网站验证是确保网络安全和建立用户信任的关键措施。随着网络诈骗和恶意软件的日益增多,验证网站的真实性和安全性变得尤为重要。本文将探讨网站验证的重要性、常见的验证方法以及如何通过验证提升用户体验和网站信誉。
Spring Boot入门与自动配置详解
5. **示例启动器**:例如,`spring-boot-starter-actuator` 用于应用监控和管理,而 `spring-boot-starter-security` 则用于实现安全性功能。在项目中引入这些依赖后,Spring Boot 就会自动配置相关的组件和服务。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值