记一次禁用springboot所有Actuator端点以防止对外暴露任何运行时信息的操作

最新推荐文章于 2024-06-26 16:29:50 发布
最新推荐文章于 2024-06-26 16:29:50 发布
阅读量2.5k 收藏 5
点赞数 1
文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sukamuljo/article/details/136203371
版权

1、漏扫时发现直接访问http://ip:port/actuator会显示很多信息,如下图所示
在这里插入图片描述

2、在Spring Boot应用中,Actuator端点提供了丰富的运行时信息以方便监控和故障排查。然而,这些信息如果被不恰当暴露,可能会造成安全风险,需要在服务的配置文件中添加如下配置:

management:
  endpoint:
    health:
      enabled: false # 禁用健康检查端点
    info:
      enabled: false # 禁用信息端点
    # 其他端点也可以这样逐一禁用...
  endpoints:
    web:
      exposure:
        include: '' # 如上所述,禁用所有web端点暴露
    jmx:
      exposure:
        include: '' # 禁用所有JMX端点暴露

3、配置结束后验证时,虽然减少了内容的展示,但仍保留了一条内网的信息,这仍然是非常危险的
在这里插入图片描述

4、考虑到web是使用nginx配置的,于是问题就变成了配置访问特定页面时显示404,配置如下

server {
    listen 80;
    server_name example.com;
 
    location /actuator {
        # 特定条件,例如请求一个不存在的文件
        if (!-e $request_filename) {
            # 返回404状态码
            return 404;
        }
 
        # 其他配置...
    }
 
    # 通过添加特定的头部信息来阻止Nginx版本信息显示在错误页面上
    error_page 404 @404_custom;
 
    location @404_custom {
        # 清除Nginx服务器名称
        server_tokens off;
        # 添加一个空的内容体来避免显示Nginx默认的错误页面内容
        add_header Content-Length 0;
        add_header Content-Type text/plain;
        return 404 'Not Found';
    }
}

问题解决

Sukamuljo
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
spring boot actuator 禁用后,/actuator仍可正常访问
baidu_34519249的博客
09-26 5070
项目上线后,被测试出actuator没有关闭,关闭后,仍可正常访问/actuator端点,只是类似/actuator/env这样的无法访问,现在就想把/actuator端点也给禁用了。
SpringBoot2.0-Actuator监控参数说明
07-10
SpringBoot2.0-Actuator监控参数说明
使用Spring Boot Actuator监控应用健康状态
最新发布
聚娃科技开发者博客
06-26 758
Spring Boot ActuatorSpring Boot的一个子项目,提供了一组REST端点,用于管理和监控Spring Boot应用程序。通过Actuator,可以查看应用程序的健康状况、内存使用、线程情况、日志信息等,还可以自定义端点暴露应用程序的特定信息
Springboot Actuator未授权访问漏洞
lanren312的博客
06-13 2890
ActuatorSpringboot 提供的用来对应用系统进行 自省和监控的功能模块,借助于 Actuator ,开发者可以很方便地对应用系统的某些监控指标进行查 看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点( endpoints )来获取应用系统中的监控信息。非法用户可通过访问默认的执行器端点( endpoints )来获取应用系统中的监控信息。在浏览器中输入 ip:port/方法二:完全禁用Actuator
springboot禁掉actuator端点
qq_23727789的博客
07-21 4650
springboot actuator信息泄露
Spring Boot
heting717的博客
01-15 647
1.什么是Spring Boot? 2.Spring Boot有哪些优点? 3.什么是JavaConfig? 4.如何重新加载Spring Boot上的更改,而无需重新启动服务器? 5.Spring Boot中的监视器是什么? 6.如何在Spring Boot禁用Actuator端点安全性? 7、如何在自定义端口上运行Spring Boot应用程序? 8、什么是YAML? 9.如...
SpringBoot应用监控Actuator使用的安全隐患
isxiaole的博客
03-23 1万+
SpringBoot应用监控Actuator使用的安全隐患,导致漏洞利用getshell。
如何在Spring Boot禁用Actuator端点安全性?
Blue92120的博客
09-20 2465
Spring Boot中,禁用Actuator端点的安全性可以通过配置来实现。Actuator端点Spring Boot应用程序的管理和监控端点,它们默认受到Spring Security的保护。
spring boot关闭actuator路径
绅士jiejie的博客
08-31 1万+
spring boot关闭actuator路径
面试积累-SpringBoot-如何在Spring Boot禁用Actuator端点安全性?
Rick1024
03-17 7265
默认情况下,所有敏感的 HTTP 端点都是安全的,只有具有 ACTUATOR 角色的用户才能访 问它们。安全性是使用标准的 HttpServletRequest.isUserInRole 方法实施的。 我们可以使用 management.security.enabled = false 来禁用安全性。只有在执行机构端点在防火墙后访问时,才建议禁用安全性。 ...
Spring Boot 2.x中Actuator的一些知识点
08-25
它提供了丰富的端点(endpoints),能够帮助开发者获取应用的运行时信息,包括但不限于健康检查、环境变量、配置属性、缓存状态、数据库迁移信息等。Actuator使得微服务的运维工作更加便捷,有助于实时了解应用的...
SpringBoot经典面试题汇总(精华版).pdf
03-24
- **禁用安全性**:若要禁用Actuator端点的安全性,可以通过配置`management.endpoints.web.exposure.include=*`来暴露所有端点,并设置`management.endpoints.web.exposure.exclude`来排除不需要暴露端点。...
springboot2 生产部署注意事项及示例代码
08-26
Spring Boot 2的生产部署过程中,需要注意一系列关键点以确保应用稳定、安全且高效运行。以下是关于Spring Boot 2生产部署的一些重要注意事项和示例代码: 1. **去除不必要的jar**: 开发环境中常用的`spring-...
springboot最新视频
06-27
该起步依赖提供了多种端点用于暴露应用的健康状态、度量指标等。 - **应用场景**: 常用于微服务架构中,便于监控和维护。 ### 视频中可能涉及的代码示例 #### 1. **创建Spring Boot项目** - 使用Spring ...
Spring actuator漏洞防御措施
Hack_ing的博客
05-07 520
Spring Actuator漏洞防御措施
SpringBootactuator进行关闭
热门推荐
wufaqidong1的博客
01-20 1万+
management: endpoint: health: show-details: ALWAYS endpoints: enabled-by-default: false #关闭监控 web: exposure: include: '*'
修复SpringBoot Actuator未授权访问遇到的问题
玛卡巴卡的博客
03-30 4345
访问http://xxx.xx.x/actuator 会直接获取到系统监控信息,存在安全问题。
springboot-actuator
07-27
Spring Boot ActuatorSpring Boot提供的一个功能强大的模块,用于监控和管理应用程序。它提供了许多内置的端点(endpoints),可以通过HTTP或JMX访问。 Actuator的一些常用端点包括: - /health:用于检查应用程序的健康状况。 - /info:提供关于应用程序的一些基本信息。 - /metrics:获取应用程序的度量指标,如内存使用情况、线程池信息等。 - /trace:跟踪HTTP请求和响应。 - /env:获取应用程序的环境变量信息。 - /beans:获取Spring应用程序上下文中所有可用的bean。 除了以上提到的端点Actuator还提供了许多其他有用的端点,可以通过配置来启用或禁用。你也可以自定义自己的端点。 要在Spring Boot项目中启用Actuator,只需在pom.xml文件中添加相应的依赖,并在应用程序的配置文件中进行相关配置即可。 希望这个回答对你有帮助!如果你还有其他问题,请随时问我。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值