当你发现你的服务器actuator服务暴露后

已于 2024-02-24 20:55:50 修改
阅读量492 收藏 6
点赞数 5
分类专栏: 深造之旅 实践 捉虫记 文章标签: 服务器 运维
于 2024-02-24 20:46:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dalerkd/article/details/136275287
版权
深造之旅 同时被 3 个专栏收录
116 篇文章 1 订阅
订阅专栏
实践
88 篇文章 2 订阅
订阅专栏
捉虫记
7 篇文章 0 订阅
订阅专栏
本文讨论了在服务器中防止Actuator暴露的策略,包括自定义屏蔽的误区,如何通过安全测试验证修复效果,以及事后的密码更新和全面安全评估。
摘要由CSDN通过智能技术生成

文章目录


当你的服务器发现actuator暴露之后,是在将来被安全机构测试发现漏洞再甩你一脸的机会?还是彻底终结这一风险?建议你立即采取行动。网上有很多博客分享,但是偏向于远离实战,以下是来自我的实战经验的分享希望能在你需要的时候帮到什么:

1. 自定义屏蔽的误区

后端常常会定义自己的屏蔽字符串进行特定路径的管控
以下为一个常见的误区:
/actuator/**
实际上这么做带来的后果是会被绕过的可能
/./actuator/
是的你没看错,由于web URL服务器处理的复杂性,经常会有很多“惊喜”,彻底屏蔽一个目录将会带来挑战。
除了你使用官方的actuator安全配置外,如果你打算自定义禁止路径那么可以考虑以下的方式:
/**/actuator/**同样的你的防火墙也可以检查这个字符串以进行屏蔽。

2. 如何更充分的验证你的修复成果?

让我们直接上安全测试用例:
是的,这是我实际的测试用例,我不会尝试其他内容,或者故弄玄虚告诉你还有更多可能。
在这里插入图片描述

需要注意的情况就是是否携带TOKEN需要分2次来测试。

3. 事后处理

请及时更新WEB服务商的密码、密钥。

很遗憾,当你发现Actuator被暴露到公网时,你要意识到这个问题可能已经存在一段时间。虽然可能没有完整的访问记录,但密码和密钥可能已经泄露。除了更换Web应用的密钥外,建议你重新评估其他可能受影响的组件,如在线运行的公司邮箱、nacos、ES以及mysql连接等。为确保安全,及时更新这些组件的密码是非常必要的。这是很多修复文章可能没有提到的一点,但它同样至关重要。

希望你在抗衡这个漏洞的过程中玩的愉快~

dalerkd
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring boot admin demo 源码 java 服务器 监控
01-15
你可以通过查看 `Application.java` 文件来了解如何启动和配置服务器及客户端,同时查阅其他相关类以理解如何暴露监控端点。 6. **实际应用**:在生产环境中,Spring Boot Admin 可以帮助团队监控多个分布式系统的...
SpringBoot整合Swagger和Actuator的使用教程详解
08-25
SpringBoot整合Swagger和Actuator是两个非常实用的功能,它们能够帮助开发者更加高效地管理和监控SpringBoot应用程序。Swagger作为API文档生成框架,使得Restful API的设计、构建和文档化变得更加便捷,而Actuator则...
Spring actuator漏洞防御措施
Hack_ing的博客
05-07 554
Spring Actuator漏洞防御措施
SpringBoot Actuator API接口信息泄露
最新发布
cnzzs的博客
07-21 471
一、SpringBoot ActuatorSpringBoot Actuator是SpringBoot项目中的一个监控机制,用于提供了一系列对SpringBoot项目的状态监控,有助于监控项目上线后的运行状态、组件状态等。这些监控项称之为端点(endpoint),可以通过API接口进行访问,但是配置不当可能出现敏感信息泄露...
Actuator内存泄露及利用&Swagger未授权&自动化测试实现
qq_46081990的博客
12-20 2863
本文主要介绍了Actuator和Swagger的未授权访问导致的漏洞利用。Actuator提供了一系列端点用于监控和管理Spring Boot应用程序,但配置不当可能导致敏感信息泄露。Swagger是一个方便开发人员进行接口开发和测试的工具,可用于自动化接口漏洞安全测试。使用Postman、BurpSuite和Xray进行工具联动,自动化测试Swagger接口,可大大提升效率。
Spring Boot Actuator敏感信息泄露漏洞
希望能找到你的答案
05-20 3263
Spring Boot Actuator 提供生产级别的功能,比如监控、追踪、控制,审计,指标收集等,帮助监控和管理Spring Boot 应用。Spring Boot Actuator敏感信息泄露漏洞,比如访问URL: http://xx.xx.xx.xx/actuator/env ,可获取到环境配置信息。
SpringBoot框架&Actuator监控泄漏&Swagger自动化测试
qq_68064663的博客
09-16 1048
Actuator监控泄漏&Swagger自动化测试
spring boot actuator 未授权访问(env泄露redis密码)
lyink001的博客
12-16 8976
actuator 未授权访问获取redis密码
StringBoot+Mybatis+Actuator项目示例源码
06-24
这是一个基于Spring Boot、Mybatis和Actuator的项目示例,非常适合初学者和开发者用来深入了解这三大框架的集成与应用。让我们逐一分析这些组件的核心概念和关键功能。 **Spring Boot** Spring Boot是由Pivotal团队...
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
12-26
- **限制Actuator暴露范围**:仅在内部网络或信任的环境中开启Actuator API,避免在生产环境中直接暴露给公众。 - **启用安全配置**:使用Spring Security对Actuator进行保护,限制对敏感端点的访问。 - **更新...
WebApp-CheckMate-服务器
02-19
5. **性能监控**:可能集成如Spring Actuator这样的工具,提供健康检查、指标暴露等功能。 在【压缩包子文件的文件名称列表】中,`WebApp-CheckMate-Server-master`很可能包含以下结构: - `src/main/java`:源...
实战|由actuator/health泄露导致的RCE
qq_18209847的博客
12-13 2308
现在spingboot的站点越来越多,在测试spingBoot未授权时,百分之九十的人看到只有actuator/health和actuator/info时,都会视若无睹。然而在一次日常漏洞挖掘过程中,我看到了不一样的actuator/health泄露,进一步拿下了服务器权限。1、发现与往常不一样的点要格外关注。2、指纹识别最好能带上目录。3、多观察,多尝试。
Day39:安全开发-JavaEE应用&SpringBoot框架&Actuator监控泄漏&Swagger自动化
qq_61553520的博客
03-13 1280
小迪安全-Day39:安全开发-JavaEE应用&SpringBoot框架&Actuator监控泄漏&Swagger自动化
springcloud actuator暴露端点漏洞修复
qq_37713521的博客
07-06 443
重启config、gateway及所有业务服务后,突然发现测试环境的服务每隔10-20分钟,服务就会重启,分析后发现是k8s的存活探针Liveness Probe造成的,注释掉k8s 启动服务的yaml文件相关配置,再重启服务就没问题了。前段时间网络安全的同事突然通知系统漏洞,swagger漏洞和暴露多余端点等,可能会泄露信息。刚开始只是修改了相关配置。更改config配置。
Spring Cloud微服务Actuator和Vue
脚踏实地,实事求是。
03-21 2285
随着微服务架构的流行,对系统运行状况的监控和管理变得至关重要。Spring Cloud提供了强大的监控工具Actuator,能够实时监控服务的运行状态、性能指标和健康状况。本文将介绍如何使用Spring Cloud的Actuator来实现微服务的监控。
SpringBoot应用监控Actuator合理使用避免安全问题
zhonghua881016的博客
11-06 501
使用springboot时,我们在开发环境或者生产环境上使用一些Actuator一些端点,如何做到安全暴露
Spring Boot后端: Actuator未授权访问漏洞解决
qq_46119575的博客
01-05 1万+
Spring Boot后端: Actuator未授权访问漏洞解决
记一次网关项目Actuator未授权访问漏洞的修复方案
DearLC的博客
07-13 7236
springboot actuator未授权访问漏洞修复方案
Springboot之Actuator信息泄露漏洞利用
热门推荐
JHIII的博客
08-30 3万+
Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信息以及Web请求的详细信息等。如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患(外部人员非授权访问Actuator端点)。...
使用Prometheus和Grafana监控SpringBoot与服务器
- 配置完成后,启动Prometheus服务,它会定期抓取配置中的目标并存储数据。 5. **集成Grafana** - 安装并配置Grafana,连接到Prometheus作为数据源。 - 在Grafana中创建新的仪表板,选择合适的Prometheus数据源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值