spring boot actuator 禁用后,/actuator仍可正常访问

最新推荐文章于 2024-04-12 02:36:10 发布
最新推荐文章于 2024-04-12 02:36:10 发布
阅读量3.7k 收藏 12
点赞数 3
文章标签: spring boot nginx java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_34519249/article/details/133297459
版权

项目场景:

项目上线后,被测试出actuator没有关闭,关闭后,仍可正常访问/actuator端点,只是类似/actuator/env这样的无法访问,现在就想把/actuator端点也给禁用了。

问题描述

spring boot 2.x关闭actuator配置,关闭后,仍可正常访问/actuator端点

management:
  endpoints:
    enabled-by-default: false

原因分析:

说明spring boot 2.x无法通过配置的方式禁用/actuator端点

解决方案1-nginx配置:

大部分项目都用到nginx,则直接在nginx中配置禁用该端点即可。deny all 和 return 403是一个效果。

        location /actuator {
            deny all;
        }
       location /server-a/actuator {
            return 403;
        }

解决方案2-网关:

如果使用了网关服务,可以在网关中创建一个过滤器继承 OncePerRequestFilter

@Component
@Slf4j
public class myFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
                                    FilterChain filterChain) throws ServletException, IOException {
 

        StringBuffer requestURL = request.getRequestURL();
        if(requestURL.toString().contains("/actuator")){
            response.getWriter().write("error");
            return;
        }
        filterChain.doFilter(request, response);

    }
}

解决方案3-spring security

如果使用了spring security则不会出现这个问题。 

驿外无主
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SpringBoot高级特性揭秘
04-08
Spring Boot的设计目的是用来简化Spring应用的初始搭建以及开发过程,默认帮我们做了很多“地下工作”,是一个集大成的框架,但对于很多开发者来说它也是大包大揽,运行原理说不清道不明,可以说SpringBoot是真正的易学,难精。 本课程将围绕SpringBoot的四大核心进行深入分析,一探究竟,它是如何进行自动转配(@EnableAutoConfiguration),什么是SpringFactoriesLoader,ConditionOnxxx条件注解又是如何生效的,怎么打开和自定义EndPoint,又该如何制作starter。。。
如何在Spring Boot禁用Actuator端点安全性?
Blue92120的博客
09-19 727
Spring Boot中,禁用Actuator端点的安全性可以通过配置来实现。Actuator端点Spring Boot应用程序的管理和监控端点,它们默认受到Spring Security的保护。
springboot禁掉actuator端点
qq_23727789的博客
07-21 4500
springboot actuator信息泄露
SpringBoot的监控(Actuator) 功能_actuator监控如何清空
最新发布
2301_82243070的博客
04-12 938
采用(1)中的方法的缺点是我不想把项目的名称或者版本号写死,我想动态获取(比如从maven中动态获取当前项目的项目名称和版本,因为项目名称或者版本可能会变动)。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~根据上面查出来的指标,再具体查看每个指标的详细信息,比如如下图查看系统CPU利用率指标。
Springboot中禁止访问IP:prot/actuator内容
weixin_46574002的博客
01-22 481
可以看下是否有这个包。
记一次禁用springboot所有Actuator端点以防止对外暴露任何运行时信息的操作
Sukamuljo的博客
02-21 953
禁用springboot所有actuator端点以防止对外暴露信息
spring boot关闭actuator路径
绅士jiejie的博客
08-31 1万+
spring boot关闭actuator路径
SpringBootactuator进行关闭
热门推荐
wufaqidong1的博客
01-20 1万+
management: endpoint: health: show-details: ALWAYS endpoints: enabled-by-default: false #关闭监控 web: exposure: include: '*'
【渗透测试】关闭springbootactuator监控
zwtwbb的专栏
05-17 1005
正常情况下,为了安全,可以通过如下配置关闭监控点 management: endpoints: enabled-by-default: false  之后访问如health,info等端点,就会报404了,但是如果单纯的访问/actuator路径,还是会有一些信息返回的,这样至少说明了/actuator路径是可以访问的,此时如果有严格的安全渗透测试,很可能安全检测就不通过了。 ...
springboot 禁用tomcat_Springboot (三十)Actuator
weixin_39866867的博客
12-16 1831
Spring Boot执行器(Actuator)提供安全端点,用于监视和管理Spring Boot应用程序。 默认情况下,所有执行器端点都是安全的。 在本章中,将详细了解如何为应用程序启用Spring Boot执行器。启用Spring Boot Actuator要为Spring Boot应用程序启用Spring Boot执行器端点,需要在构建配置文件中添加Spring Boot Starter执行...
springboot集成actuator实现优雅关闭应用
java技术博客
01-29 706
参考 ruoyi 开源项目。http post 请求。
Spring Boot Actuator执行器运行原理详解
08-24
主要介绍了Spring Boot Actuator执行器运行原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Boot Actuator端点相关原理解析
08-18
主要介绍了Spring Boot Actuator端点相关原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring-boot-actuator-2.3.12.RELEASE-API文档-中英对照版.zip
07-13
包含翻译后的API文档:spring-boot-actuator-2.3.12.RELEASE-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:org.springframework.boot:spring-boot-actuator:2.3.12.RELEASE; 标签:springframework、...
Spring Boot Actuator监控端点小结
08-30
主要介绍了Spring Boot Actuator监控端点小结,需要的朋友可以参考下
Springboot Actuator整合Spring boot admin源码整理
03-29
Springboot Actuator整合Spring boot admin源码整理,配合csdn文章使用
SpringBoot如何启用/禁用执行器?
胡晗靓的Java学习博客
07-19 518
SpringBoot如何启用/禁用执行器?
Spring Boot Actuator未授权访问漏洞
05-24
Spring Boot ActuatorSpring Boot提供的一组用于监控和管理应用程序的端点。这些端点包括/health、/info、/metrics等,通过HTTP请求可以获取应用程序的相关信息。 未授权访问漏洞是指攻击者可以通过发送特定的请求,获取到未经授权的应用程序信息。在Spring Boot Actuator中,如果未对端点进行正确的安全配置,攻击者可以通过发送GET请求,获取到应用程序的敏感信息,如应用程序版本、运行状态、数据库连接信息等。 为了避免Spring Boot Actuator未授权访问漏洞的发生,可以采取以下措施: 1. 禁用不必要的Actuator端点:可以通过配置文件或注解的方式禁用不必要的Actuator端点,避免敏感信息的泄露。 2. 对Actuator端点进行安全配置:可以通过配置文件或代码的方式对Actuator端点进行安全配置,只允许授权用户进行访问。 3. 更新Spring Boot版本:Spring Boot官方已经修复了Actuator未授权访问漏洞,升级到最新版本可以避免此漏洞的发生。 总之,Spring Boot Actuator未授权访问漏洞需要引起开发人员的重视,应该及时采取相应的安全措施,避免应用程序的敏感信息被泄露。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

驿外无主

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值