spring boot actuator 未授权访问(env泄露redis密码)

最新推荐文章于 2025-03-25 15:19:37 发布
最新推荐文章于 2025-03-25 15:19:37 发布
阅读量1w 收藏 14
点赞数 1
分类专栏: 工程项目渗透 文章标签: spring boot 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyink001/article/details/128343964
版权

Actuator

Actuator是Spring Boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。

/dump - 显示线程转储(包括堆栈跟踪)
/autoconfig - 显示自动配置报告
/configprops - 显示配置属性
/trace - 显示最后几条HTTP消息(可能包含会话标识符)
/logfile - 输出日志文件的内容
/shutdown - 关闭应用程序
/info - 显示应用信息
/metrics - 显示当前应用的’指标’信息
/health - 显示应用程序的健康指标
/beans - 显示Spring Beans的完整列表
/mappings - 显示所有MVC控制器映射
/env - 提供对配置环境的访问
/restart - 重新启动应用程序

渗透过程

访问浏览器访问actuator
在这里插入图片描述
访问env获取到敏感信息redis服务器地址以及口令
在这里插入图片描述
尝试连接redis服务服务器127.0.0.1:30008,端口拒绝访问,goby扫描redis真实端口31626
在这里插入图片描述
在这里插入图片描述
使用工具Another Redis Desktop Manager连接redis服务器,如图连接成功
在这里插入图片描述
在这里插入图片描述

漏洞风险

当 Spring Boot 应用程序运行时,它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置,就有可能导致一些系统信息泄露、XXE、甚至是 RCE 等安全问题。

修复建议

引入spring-boot-starter-security依赖,在application.properties中指定actuator的端口以及开启security功能,配置访问权限验证,这时再访问actuator功能时就会弹出登录窗口,需要输入账号密码验证后才允许访问。

SpringBoot Actuator未授权访问漏洞修复
JHIII的博客
08-25 2万+
目前SpringBoot得框架,越来越广泛,大多数中小型企业,在开发新项目得时候。后端语言使用java得情况下,首选都会使用到SpringBoot。在很多得一些开源得框架中,例如: ruoyi若以,这些。不知道是出于什么原因?我们都会在这些框架中得pom文件中找到的依赖。嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件中;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。例如下面:对于这些漏洞,我们开始修复喽!!!
【高危】Spring Boot Actuator未授权访问
imudges_hanhaoyu的博客
05-29 1418
一个SpringBoot的项目,采用了若依的框架,不知道是框架自带的还是有人单独加的,项目里用到了。(以下简称SBA)主要用于Spring Boot应用的健康检查,配合K8S可用于服务部署,切换流量,监控报警等场景。但是就我的理解,这个项目是一个比较简单的项目,应该是用不到Spring Boot Actuator的然后,被检测出来,有漏洞了。。。
SpringbootActuator未授权访问漏洞
web_15534274656的博客
03-10 785
ActuatorSpringBoot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。然而,其默认配置会出现接口未授权访问,导致部分接口会泄露网站数据库连接信息等配置信息,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
Zookeeper未授权漏洞修复方案
最新发布
AoiMukou01的博客
03-25 643
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。检查版本信息,zookeeper版本为3.4.14,属于漏洞覆盖范围内。配置白名单后,未授权已无法利用。
Spring Boot Actuator未授权访问漏洞
SummerGao
12-03 3949
Spring Boot ActuatorSpring Boot提供的一个用于对应用系统进行自省和监控的功能模块。它允许开发者通过暴露的端点(Endpoints)来查看和交互应用系统的各种指标和配置信息,如健康检查、环境属性、线程转储、HTTP追踪等。这些端点对于开发者在开发、测试以及生产环境中监控和管理应用非常有用。
Spring Boot Actuator未授权访问排查和整改指南
weixin_44106034的博客
10-19 3万+
1、信息泄露未授权访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对未授权用户开放。2、系统破坏:攻击者可以通过Actuator端点的未授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
Springboot Actuator未授权访问漏洞
weixin_53736204的博客
08-05 606
Actuatorspringboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息,从而导致信息泄露甚至服务器被接管的事件发生。Actuatorspringboot 提供的用来对应用系统进行自省和监控的功能模块。步骤二:拼接以下路径查看泄露的数据.
SpringBoot Actuator未授权访问
jenchoi413的博客
02-07 1148
Spring Boot Actuator 是一个用于监控和管理 Spring Boot 应用的库,提供了多种端点(endpoints)来查看应用的运行状态、健康检查、指标、日志等信息,适用于生产环境监控和故障排查。健康检查(Health)显示应用健康状态,如数据库、缓存等组件的可用性。应用指标(Metrics)提供 CPU、内存、GC、请求统计等信息。环境信息(Env)显示应用环境变量和配置属性。日志管理(Loggers)允许动态调整日志级别。线程 Dump(Thread Dump)
springboot Actuator未授权访问漏洞
qq_45382625的博客
08-29 1116
Spring Boot 2.X 中,Actuator 默认开放 health 和 info 两个端点,如果需要配置开放所有端点(配置值为 "*" 代表所有)
Spring Boot 未授权访问漏洞利用
bmaoHk的博客
10-04 3123
Spring Boot是由Pivotal团队提供的一套开源框架,可以简化spring应用的创建及部署。它提供了丰富的Spring模块化支持,可以帮助开发者更轻松快捷地构建出企业级应用。Spring Boot通过自动配置功能,降低了复杂性,同时支持基于JVM的多种开源框架,可以缩短开发时间,使开发更加简单和高效,在应用系统中占比较大。因此当某些端点存在配置不当的时候,就有可能导致一些系统信息泄露、 RCE 等安全问题。● Spring Boot 1.x版本端点在根URL下注册。
Spring Boot Actuator(五)
11-22 941
"prod"],},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},},"PID": {},},},},},},},},},},},},"HOME": {},"PATH": {},},},"TZ": {},
Spring Boot Actuator 超详细教程:生产级应用监控与管理利器
weixin_52568491的博客
03-17 880
无需编写大量额外代码,即可轻松获取应用的各种运行时信息,并进行必要的管理操作。本文将深入 Spring Boot Actuator 的各个方面,从核心概念到高级应用,进行。如果您在 Actuator 的学习或使用过程中遇到任何问题,欢迎在评论区留言交流,共同进步!,并在实际项目中充分利用 Actuator 的强大功能,打造更加健壮、可靠的 Spring Boot 应用。的解析,助您掌握 Actuator 的精髓,打造更加健壮、可维护的生产级 Spring Boot 应用。如果您觉得本文对您有帮助,
Spring boot——Actuator 详解
热门推荐
weixin_45985053的博客
07-19 3万+
SpringBoot提供了所谓的endpoints(下文翻译为端点)给外部来与应用程序进行访问和交互。打比方来说,/health端点提供了关于应用健康情况的一些基础信息。metrics端点提供了一些有用的应用程序指标(JVM内存使用、系统CPU使用等)。这些Actuator模块本来就有的端点我们称之为原生端点。应用配置类获取应用程序中加载的应用配置、环境变量、自动化配置报告等与SpringBoot应用密切相关的配置类信息。度量指标类操作控制类提供了对应用的关闭等操作类功能。...
玩转 Spring Boot 集成篇(ActuatorSpring Boot Admin)
一猿小讲
01-30 1696
系统上线后,如果离开了监控,就没法辨别一个系统是不是在正常提供服务,就好似系统在线上疯狂裸奔。关于监控的轮子以及实现思想,曾经也多次分享过。《如何做监控?Google SRE 解密》《在监...
springboot未授权访问&CVE-2014-3566
qq_42430287的博客
02-23 668
springboot actuator未授权访问 Spring Boot 1.x版本端点在根URL下注册 /autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过 /beans 描述应用程序上下文里全部的Bean,以及它们的关系 /env 获取全部环境属性 /configprops 描述配置属性(包含默认值)如何注入Be...
spring: profiles: active: redis这个配置通用咋配
03-09
<think>嗯,用户想知道如何在Spring Boot中设置通用的active profile为redis。首先,我需要回忆一下Spring Boot的配置机制。记得Spring Boot使用profile来区分不同环境的配置,比如开发、测试、生产环境。每个profile可以有自己的配置文件,命名格式是application-{profile}.properties或yml。 用户提到的是激活redis这个profile,可能需要让应用在启动时默认使用redis配置。通常激活profile的方法有几种,比如在application.properties里设置spring.profiles.active,或者通过环境变量、命令行参数。 但是用户想要的是通用配置,也就是无论怎么启动应用,都默认激活redis profile。这时候应该在主配置文件里设置spring.profiles.active=redis。这样每次启动时都会自动加载application-redis.properties或yml中的配置。比如在application.properties中添加一行:spring.profiles.active=redis。或者在application.yml中写成: spring: profiles: active: redis 不过,用户可能有不同的环境,比如测试和生产,这时候可能需要更灵活的方法。比如使用外部配置覆盖。但根据用户的问题,他们希望通用配置,也就是默认激活redis,所以主配置文件里的设置应该足够了。 另外,记得引用中的内容,比如引用[1]提到Spring Boot会自动加载默认配置文件,而引用[2]讨论了如何覆写配置。所以如果用户需要覆盖默认的active profile,可以通过命令行参数,如--spring.profiles.active=redis,但这可能不是他们需要的通用方法。通用方法应该是在配置文件中设置,而不是每次启动都指定。 还有,用户可能已经创建了application-redis.properties文件,里面配置了Redis相关的属性,比如连接信息。激活redis profile后,这些配置就会生效。比如: # application-redis.properties spring.redis.host=localhost spring.redis.port=6379 这样,当redis profile激活时,这些Redis配置会被加载。 总结步骤应该是:1. 在主配置文件中设置active profile为redis;2. 确保对应的redis配置文件存在;3. 如果需要外部覆盖,可以通过命令行参数,但通用配置是前者。同时,可能需要检查代码中的配置是否正确引用了这些属性,比如使用@Profile注解或者条件装配。 另外,用户的问题可能涉及到如何正确配置多个profile,或者如何测试是否生效。比如启动应用时,日志中会显示激活的profile,或者通过端点检查。比如访问/actuator/env可以看到当前激活的profile。 最后,生成相关问题的时候,需要考虑用户可能的后续疑问,比如如何在不同环境中切换profile,或者如何结合多个profile使用,以及如何处理profile冲突等。</think>在Spring Boot中设置通用的Active Profile为"redis"有以下几种方法: ### 方法一:主配置文件设置(推荐) 1. 在`application.properties`文件中添加: ```properties spring.profiles.active=redis ``` 2. 或者在`application.yml`文件中配置: ```yaml spring: profiles: active: redis ``` 这会强制应用始终加载名为`application-redis.properties/yml`的配置文件[^1][^2]。 ### 方法二:启动参数设置 通过命令行启动时指定: ```bash java -jar your-app.jar --spring.profiles.active=redis ``` ### 方法三:环境变量设置 设置系统环境变量: ```bash export SPRING_PROFILES_ACTIVE=redis ``` ### 验证配置 1. 创建对应的Profile配置文件: ```properties # application-redis.properties spring.redis.host=localhost spring.redis.port=6379 ``` 2. 启动日志中会出现激活的Profile信息: ``` INFO [main] o.s.b.a.ApplicationAvailabilityBean : Active profiles: redis ``` ### 注意事项 - 当存在多个Active Profile时,配置会按照以下优先级合并:命令行参数 > 系统环境变量 > 配置文件设置[^1] - Profile配置文件必须遵循`application-{profile}.properties/yml`命名规范 - 可以通过`@Profile("redis")`注解实现条件装配[^2]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值