Springboot Actuator未授权访问漏洞

已于 2023-11-08 11:25:49 修改
阅读量2.8k 收藏 6
点赞数 3
分类专栏: 运维 springboot 文章标签: 运维 spring boot
于 2023-06-13 23:57:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanren312/article/details/131195559
版权

参考博客: https://blog.csdn.net/m0_57042151/article/details/126719041

漏洞概述:

Actuator 是 Springboot 提供的用来对应用系统进行 自省和监控的功能模块,借助于 Actuator ,开发者可以很方便地对应用系统的某些监控指标进行查 看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点( endpoints )来获取应用系统中的监控信息。

在浏览器中输入  ip:port/actuator/env 非法用户可通过访问默认的执行器端点( endpoints )来获取应用系统中的监控信息。

修改yml配置

方法一:

management:
  endpoints:
    web:
      exposure:
         exclude: env,heapdump,threaddump,mappings

方法二:完全禁用Actuator

management:
  server:
    port: -1

再去访问,页面就显示空白。

方法三:关闭Actuator监控

management:
  endpoints:
    enabled-by-default: false

另外补充druid组件漏洞

参考博客: https://blog.csdn.net/m0_73557631/article/details/132426357

https://blog.csdn.net/java_collect/article/details/83660809 

关闭连接池监控

spring:
  datasource:
    druid:
      stat-view-servlet:
        enabled: false

lanren312
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
SpringBoot Actuator授权访问漏洞修复
JHIII的博客
08-25 2万+
目前SpringBoot得框架,越来越广泛,大多数中小型企业,在开发新项目得时候。后端语言使用java得情况下,首选都会使用到SpringBoot。在很多得一些开源得框架中,例如: ruoyi若以,这些。不知道是出于什么原因?我们都会在这些框架中得pom文件中找到的依赖。嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件中;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。例如下面:对于这些漏洞,我们开始修复喽!!!
使用SpringBoot Actuator监控应用示例
08-27
SpringBoot ActuatorSpring Boot框架中的一个核心组件,专门用于应用程序的监控和管理。它提供了一组丰富的端点(endpoints),允许开发者深入了解应用程序的运行状态、性能指标、配置信息等,从而帮助优化和维护...
【高危】Spring Boot Actuator授权访问
imudges_hanhaoyu的博客
05-29 613
一个SpringBoot的项目,采用了若依的框架,不知道是框架自带的还是有人单独加的,项目里用到了。(以下简称SBA)主要用于Spring Boot应用的健康检查,配合K8S可用于服务部署,切换流量,监控报警等场景。但是就我的理解,这个项目是一个比较简单的项目,应该是用不到Spring Boot Actuator的然后,被检测出来,有漏洞了。。。
SpringBoot Actuator授权访问漏洞的解决方法
MichaelZ的博客
05-08 3142
Spring Boot Actuator 是一个用于监控和管理 Spring Boot 应用程序的功能模块。它提供了一系列生产就绪的功能,帮助你了解应用程序的运行状况,以及在运行时对应用程序进行调整。Actuator 使用了 Spring MVC 来暴露各种 HTTP 或 JMX 端点,通过这些端点你可以获取到应用程序的运行信息,如健康状态、指标、线程 dump、环境变量等。健康检查:可以检查应用程序的运行状况,包括数据库连接、磁盘空间、服务状态等。指标收集。
Spring Boot Actuator授权访问漏洞
shot_life的博客
06-06 130
Spring Boot Actuator授权访问漏洞
浅析SpringBoot框架常见授权访问漏洞
道阻且长,行则将至。
02-23 7902
本文总结学习了 Swagger-UI、SpringBoot Actuator、Druid、Webpack 组件的授权访问漏洞基本原理与漏洞探测方法,在介绍了几款自动化扫描工具的同时,也简要分析了 CVE-2022-22947 Spring Cloud Gateway RCE 漏洞
springboot Actuator授权访问漏洞
qq_45382625的博客
08-29 658
Spring Boot 2.X 中,Actuator 默认开放 health 和 info 两个端点,如果需要配置开放所有端点(配置值为 "*" 代表所有)
Springboot Actuator授权访问漏洞复现
热门推荐
crowsec
07-31 1万+
SpringBootActuator模块提供了生产级别的功能,比如健康检查,审计,指标收集,HTTP跟踪等,帮助监控和管理SpringBoot应用。这个模块是一个采集应用内部信息暴露给外部的模块,上述的功能都可以通过HTTP和JMX访问。https)ActuatorSpringBoot提供的应用系统监控的开源框架。https)httpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttps。...
SpringBoot Actuator授权访问漏洞
m0_37354578的博客
06-30 1521
SpringBoot项目修改配置文件application.properties,增加如下配置 management.endpoints.enabled-by-default=false
针对springboot actuator授权访问漏洞的解决办法
听闻如故的博客
08-02 4518
解决springboot actuator授权访问漏洞
一个使用springboot actuator监控应用的实战项目例子
04-16
一个使用springboot actuator监控应用的实战项目例子,对于想使用actuator来监控应用的初级程序员来说是一个不错的学习例子! 关注我!给我留言或者私信发邮箱,看到的话可以给你们发资源哦~
Springboot actuator应用后台监控实现
08-19
Springboot actuator应用后台监控实现 通过 Springboot actuator,可以实现后台应用监控,主要介绍了 Springboot actuator 应用后台监控实现,通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习...
详解关于springboot-actuator监控的401无权限访问
08-29
5. health:展示应用的健康信息(当使用一个认证连接访问时显示一个简单的'status',使用认证连接访问则显示全部信息详情)。 6. info:显示任意的应用信息。 7. metrics:展示当前应用的'指标'信息。 8. mappings...
Springboot actuator生产就绪功能实现解析
08-19
Spring Boot ActuatorSpring Boot框架的一个重要组件,它为开发者提供了丰富的工具,以实现应用程序的生产就绪性。Actuator提供了健康检查、审计、指标收集、日志管理、配置审计等关键功能,使得运维人员能够有效...
简单搭建dns服务器
最新发布
ANCHG_的博客
08-04 182
简单搭建dns服务器
nodejs项目
weixin_70751365的博客
07-31 1136
一、基于域名配置server一、基于域名配置server1.一个配置文件一般只有一个http模块2.一个http模块可以有多个server模块3.一个server模块就是一套web项目4.一个server模块中可以有多个location就是项目中的url路由第一步mkdir/zhangmin第二部echo第三步vim第三步http{server{listen80;第四步vim/etc/hosts10curl。
【Vulnhub系列】Vulnhub Connect-The-Dots 靶场渗透(原创)
Lusen的博客
08-02 554
Vulnhub系列Connect-The-Dots靶场做题记录
二进制部署k8s集群之master节点和etcd数据库集群(上)
zx52306的博客
07-30 1229
【代码】二进制部署k8s集群之master节点和etcd数据库集群(上)
SpringBoot Actuator授权访问漏洞 http://25.90.180.34/actuator/env
05-19
SpringBoot ActuatorSpring Boot提供的一个监控和管理Spring Boot应用程序的框架,包括健康检查、审计、统计和HTTP接口等功能。而授权访问漏洞则是指攻击者可以通过某种方式授权访问到应用程序中的敏感信息或者功能。 在你提供的URL中,可以看到该漏洞存在于目标主机的Spring Boot应用程序中。攻击者可以通过向该URL发送一个GET请求,获取应用程序的环境配置信息,包括应用程序使用的所有配置属性、系统环境变量、JVM属性等等。这些信息可能包含敏感数据,例如数据库密码、加密密钥等等,从而导致安全风险。 为了解决这个问题,你可以采取以下措施: 1. 更新Spring Boot Actuator版本:Spring Boot官方已经发布了多个版本的Actuator,其中许多版本已经修复了该漏洞。你可以升级到最新版本的Actuator来避免该漏洞。 2. 配置Actuator的安全:Spring Boot Actuator提供了安全配置选项,可以限制对Actuator HTTP端点的访问。你可以使用Spring Security等框架来对Actuator进行安全配置,只允许授权用户访问Actuator端点。 3. 禁用Actuator HTTP端点:如果你不需要使用Actuator提供的HTTP端点,可以禁用它们以避免安全风险。在Spring Boot应用程序的配置文件中,设置management.endpoints.web.exposure.exclude属性,将不需要的端点排除在外。例如:`management.endpoints.web.exposure.exclude=env,health,info`。 综上所述,对于SpringBoot Actuator授权访问漏洞,你应该及时采取相应的措施进行修复和防范。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值