Springboot之Actuator的渗透测试和漏洞修复

最新推荐文章于 2024-05-03 21:58:10 发布
最新推荐文章于 2024-05-03 21:58:10 发布
阅读量715 收藏 1
点赞数
分类专栏: Java 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52191385/article/details/132174141
版权

Actuator 的 REST 接口
Actuator监控分成两类:原生端点和用户自定义端点;自定义端点主要是指扩展性,用户可以根据自己的实际应用,定义一些比较关心的指标,在运行期进行监控。

原生端点是在应用程序里提供众多 Web 接口,通过它们了解应用程序运行时的内部状况。原生端点又可以分成三类:

1.应用配置类:可以查看应用在运行期的静态信息:例如自动配置信息、加载的springbean信息、yml文件配置信息、环境信息、请求映射信息;
2.度量指标类:主要是运行期的动态信息,例如堆栈、请求连、一些健康指标、metrics信息等;
3.操作控制类:主要是指shutdown,用户可以发送一个请求将应用的监控功能关闭。

1. env
http://ip:8080/actuator/env

GET 请求 /env 会直接泄露环境变量、内网地址、配置中的用户名等信息;当程序员的属性名命名不规范,例如 password 写成 psasword、pwd 时,会泄露密码明文;

2.heapdump
Heapdump地址为(60M大小):
https://ip:端口/actuator/heapdump

访问网站的/actuator/heapdump接口,下载返回的GZip 压缩 堆转储文件,使用通过VisualVM/Android studio 加载,通过泄露站点的内存信息,查看到后台账号信息和数据库账号。


修复
Spring Boot提供了安全限制功能。比如要禁用/env /heapdump接口,则可设置yml如下:

# Tomcat
server:
  port: 8080

management:
  endpoint:
    heapdump:
      enabled: false # 启用接口关闭
    env:
      enabled: false # 启用接口关闭

_江屿_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
11springboot+actuator监控1
08-08
springboot(十九):使用Spring Boot Actuator监控应用 - 纯洁的微笑博客http://www.ityouknow.com/spri
使用SpringBoot Actuator监控应用示例
08-27
ActuatorSpring Boot提供的对应用系统的自省和监控的集成功能,可以对应用系统进行配置查看、相关功能统计等。这篇文章主要介绍了使用SpringBoot Actuator监控应,有兴趣的可以了解一下
揭秘springbootActuator核心
12-21
简单明了地介绍了如何使用Actuator模块获取所有监控信息,本人亲自测试过支持springboot2.1.1版本
SpringBoot整合Swagger和Actuator的使用教程详解
08-25
Swagger 是一套基于 OpenAPI 规范构建的开源工具,可以帮助我们设计、构建、记录以及使用 Rest API。本篇文章主要介绍的是SpringBoot整合Swagger(API文档生成框架)和SpringBoot整合Actuator(项目监控)使用教程。感兴趣的朋友一起看看吧
springboot-actuator-demo1
05-16
springboot-执行器-demo1 带有spring-boot-admin的springboot-actuator-demo1 参考 快速开始 JDK 1.8 Maven的3.5 吉特 git clone https://github.com/origoni/springboot-actuator-demo1.git cd springboot-actuator-demo1 mvn spring-boot:run 测试 经过测试 STS(Eclipse)3.8.4 IntelliJ IDEA 2018.1.3 //@formatter:off & //@formatter:on eclipse : Preferences -> Java -> Code style -> Formatter -> Edit... (or New...) > Off/On Tags in
关于Spring Boot Actuator漏洞补救方案
qq_39712282的博客
01-30 7980
SpringbootActuator信息泄露漏洞问题
记一次网关项目Actuator未授权访问漏洞修复方案
DearLC的博客
07-13 5934
springboot actuator未授权访问漏洞修复方案
Spring Boot Actuator详解与漏洞利用
做自己喜欢的事,并将其发挥到极致!
08-19 6225
由Pivotal团队提供的全新框架,其设计的目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。ActuatorSpring Boot提供的对应用系统的监控和管理。
JavaSpringBootActuator漏洞修复
山路曲折盘旋,但毕竟朝着顶峰延伸
07-05 1680
JavaSpringBootActuator漏洞修复
SpringBoot Actuator未授权访问漏洞修复
热门推荐
JHIII的博客
08-25 2万+
目前SpringBoot框架,越来越广泛,大多数中小型企业,在开发新项目得时候。后端语言使用java得情况下,首选都会使用到SpringBoot。在很多得一些开源得框架中,例如: ruoyi若以,这些。不知道是出于什么原因?我们都会在这些框架中得pom文件中找到的依赖。嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件中;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。例如下面:对于这些漏洞,我们开始修复喽!!!
详解关于springboot-actuator监控的401无权限访问
08-29
本篇文章主要介绍了详解关于springboot-actuator监控的401无权限访问,非常具有实用价值,有兴趣的可以了解一下
渗透测试之dirsearch半自动化测试与Actuator端点
04-25
渗透测试之dirsearch半自动化测试与Actuator端点
SpringBoot四大神器之Actuator的使用小结
08-28
主要介绍了SpringBoot四大神器之Actuator的使用小结,详细的介绍了Actuator的使用和端点的使用,有兴趣的可以了解一下
SpringBoot历史漏洞复现
weixin_53747497的博客
04-01 5633
Spring框架为开发Java应用程序提供了全面的基础架构支持。它包含一些很好的功能,如依赖注入和开 箱即用的模块,如:Spring JDBC 、Spring MVC 、Spring Security、 Spring AOP 、Spring ORM 、 Spring Test,这些模块缩短应用程序的开发时间,提高了应用开发的效率例如,在Java Web开发的早 期阶段,我们需要编写大量的代码来将记录插入到数据库中。
Spring Boot后端Actuator未授权访问漏洞解决
qq_46119575的博客
01-05 1万+
Spring Boot后端Actuator未授权访问漏洞解决
spring boot 引起的 “堆外内存泄漏”
纯洁的微笑
11-13 1万+
背景组内一个项目最近一直报swap区域使用过高异常,笔者被叫去帮忙查看原因。发现配置的4G堆内内存,但是实际使用的物理内存高达7G,确实有点不正常,JVM参数配置是“-X...
从0认识+识别+掌握spring漏洞(1.8w字超详细看完拿捏spring)文末带工具
milu_Sec的博客
12-30 1287
SpEL是基于Spring的一个表达式语言,类似于Struts2的 OGNL,能够在运行时动态执行一些运算或指令,类似于Java的反射功能。共分为三类:一. 直接在注解中使用二. 在XML文件中使用三. 在代码块中使用Spring core是Spring系列产品中用来负责发现、创建并处理bean之间的关系的一个工具包,是一个包含Spring框架基本的核心工具包,Spring其他组件都要使用到这个包。未经身份验证的攻击者可以使用此漏洞进行远程任意代码执行。
Spring boot带来的信息泄露
就是我的博客
05-05 1万+
一、什么是Actuator Spring Boot Actuators 模块端点信息官方文档: Spring Boot Actuator Web API Documentation Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的..
基于Spring Boot的音乐网站与分享平台设计与实现
最新发布
wudixiuluo的博客
05-03 915
本文主要论述了如何使用JAVA语言开发一个音乐网站与分享平台,本系统将严格按照软件开发流程进行各个阶段的工作,采用B/S架构,面向对象编程思想进行项目开发。在引言中,作者将论述音乐网站与分享平台的当前背景以及系统开发的目的,后续章节将严格按照软件开发流程,对系统进行各个阶段分析设计。首页、音乐资讯、音乐翻唱、在线听歌、留言反馈、个人中心、后台管理、客服等功能。由于本网站的功能模块设计比较全面,所以使得整个音乐网站与分享平台信息管理的过程得以实现。
springboot actuator漏洞
06-06
Spring Boot Actuator漏洞是指Spring Boot应用程序中的Actuator模块存在安全漏洞,攻击者可以利用该漏洞获取应用程序的敏感信息或者执行恶意操作。这些漏洞可能会导致应用程序的崩溃、数据泄露或者其他安全问题。因此,开发人员应该及时更新和修复这些漏洞,以保护应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值