针对SpringBoot Actuator未授权访问端点问题

已于 2022-03-24 14:37:53 修改
阅读量3.3k 收藏 6
点赞数 2
文章标签: spring boot
于 2022-03-24 14:36:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25379811/article/details/123709952
版权

问题场景:

目前SpringBoot Actuator暴露出的端点是未经授权就可以直接访问的,这样可能会存在一些安全隐患

解决方法

1.第一种方案:可以在配置文件中把暴露出的端点排除掉

#开启所有的端点访问(目前 health和info是默认开启的)
management.endpoints.web.exposure.include=*
#屏蔽掉health端点
management.endpoints.web.exposure.exclude=health

这种方案屏蔽掉之后,就不能在访问了,对于项目上仍然想查看这些数据的是不太友好的
2.第二种方案:增加一个过滤器,对这些端点进行权限验证
过滤器代码如下:

package com.zhoule.demoactuator.filter;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Base64;
import java.util.Enumeration;

public class ActuatorFilter implements Filter {

    public static final Logger logger = LoggerFactory.getLogger(ActuatorFilter.class);

    public static final String ACTUATOR_SESSION = "ActuatorBasicAuthSession";

    private String userName;

    private String password;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        Enumeration<String> enumeration = filterConfig.getInitParameterNames();
        if (enumeration.hasMoreElements()) {
            this.userName = filterConfig.getInitParameter("actuatorUserName");
            this.password = filterConfig.getInitParameter("actuatorPassword");
        }
        logger.info("ActuatorFilter init success");
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        String path = request.getRequestURI();
        //可以把所有暴露出来的端点路径放在一个集合里面进行判断
        if (path.startsWith("/actuator")) {
            Object actuatorSessionValue = request.getSession().getAttribute(ACTUATOR_SESSION);
            if (actuatorSessionValue == null || !userName.equals(actuatorSessionValue)) {
                String auth = request.getHeader("Authorization");
                if (auth != null && !"".equals(auth)) {
                    //解析认证参数
                    String userAndPass = this.decodeBase64(auth.substring(6));
                    String[] upArr = userAndPass.split(":");
                    if (upArr.length != 2) {
                        this.writeForbiddenCode(response);
                        return;
                    }
                    String iptUser = upArr[0];
                    String iptPass = upArr[1];
                    if (iptUser.equals(this.userName) && iptPass.equals(this.password)) {
                        request.getSession().setAttribute(ACTUATOR_SESSION, this.userName);
                        filterChain.doFilter(request, response);
                        return;
                    }
                    this.writeForbiddenCode(response);
                    return;
                } else {
                    this.writeForbiddenCode(response);
                    return;
                }
            }
        }
        filterChain.doFilter(request, response);
    }

    /**
     * 未认证时返回401认证页面
     *
     * @param httpServletResponse
     * @throws IOException
     */
    private void writeForbiddenCode(HttpServletResponse httpServletResponse) throws IOException {
        httpServletResponse.setStatus(401);
        httpServletResponse.setHeader("WWW-Authenticate", "Basic realm=\"input Actuator Basic userName & password \"");
        httpServletResponse.getWriter().write("You do not have permission to access this resource");
    }

    private String decodeBase64(String source) {
        String decodeStr = null;
        if (source != null) {
            try {
                byte[] bytes = Base64.getDecoder().decode(source);
                decodeStr = new String(bytes);
            } catch (Exception var4) {
                this.logger.error(var4.getMessage(), var4);
            }
        }

        return decodeStr;
    }
}

Config配置类

package com.zhoule.demoactuator.config;

import com.zhoule.demoactuator.filter.ActuatorFilter;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    @Bean
    public FilterRegistrationBean actuatorFilter () {
        FilterRegistrationBean registrationBean = new FilterRegistrationBean();
        registrationBean.setFilter(new ActuatorFilter());
        registrationBean.setName("actuator");
        registrationBean.addUrlPatterns("/*");
        registrationBean.setOrder(Integer.MAX_VALUE);

        //用户名密码可以配置在配置文件中或者配置中心
        registrationBean.addInitParameter("actuatorUserName", "admin");
        registrationBean.addInitParameter("actuatorPassword", "123456");
        return  registrationBean;
    }
}

访问效果

1.加了授权之后的访问页面
在这里插入图片描述

2.输入了正确的用户名和密码之后

在这里插入图片描述

乐韵天城
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
详解关于springboot-actuator监控的401无权限访问
08-29
本篇文章主要介绍了详解关于springboot-actuator监控的401无权限访问,非常具有实用价值,有兴趣的可以了解一下
SpringBoot应用监控Actuator安全隐患及解决方案
java面试笔试
09-21 1810
Java面试笔试面经、Java技术每天学习一点公众号Java面试关注我不迷路作者:lucky jaler来源:https://blog.csdn.net/u013087026/概述微服务作...
漏洞复现 - - - Springboot授权访问
最新发布
qq_44005305的博客
03-09 1718
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
一个使用springboot actuator监控应用的实战项目例子
04-16
一个使用springboot actuator监控应用的实战项目例子,对于想使用actuator来监控应用的初级程序员来说是一个不错的学习例子! 关注我!给我留言或者私信发邮箱,看到的话可以给你们发资源哦~
spring boot 源码解析56-actuator请求处理流程(以EnvironmentEndpoint为例)
qq_26000415的博客
02-01 1万+
前言前面2篇文章介绍了EndpointHandlerMapping.本文就来看一下访问MvcEndpoint的处理流程.本文以访问/env 为例进行讲解解析 因为我们是get请求,因此为调用FrameworkServlet#doGet来进行处理,代码如下:protected final void doGet(HttpServletRequest request, HttpServletRespons
【原理扫描】Spring Boot Actuator授权访问漏洞
空空
03-24 1万+
问题描述 Actuatorspringboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。 漏洞场景: 注:对于Spring 1x,它们在根URL下注册,并且在2x中它们移动到“/actuator/”基本路径。 例如:http://ip:port/actuator/en
SpringBoot Actuator授权访问漏洞修复
JHIII的博客
08-25 2万+
目前SpringBoot得框架,越来越广泛,大多数中小型企业,在开发新项目得时候。后端语言使用java得情况下,首选都会使用到SpringBoot。在很多得一些开源得框架中,例如: ruoyi若以,这些。不知道是出于什么原因?我们都会在这些框架中得pom文件中找到的依赖。嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件中;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。例如下面:对于这些漏洞,我们开始修复喽!!!
spring boot actuator 授权访问(env泄露redis密码)
lyink001的博客
12-16 8110
actuator 授权访问获取redis密码
Springboot Actuator授权访问漏洞
lanren312的博客
06-13 2541
ActuatorSpringboot 提供的用来对应用系统进行 自省和监控的功能模块,借助于 Actuator ,开发者可以很方便地对应用系统的某些监控指标进行查 看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点( endpoints )来获取应用系统中的监控信息。非法用户可通过访问默认的执行器端点( endpoints )来获取应用系统中的监控信息。在浏览器中输入 ip:port/方法二:完全禁用Actuator
Spring Boot Actuator授权访问排查和整改指南
weixin_44106034的博客
10-19 1万+
1、信息泄露:授权访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对授权用户开放。2、系统破坏:攻击者可以通过Actuator端点授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
Spring Boot后端: Actuator授权访问漏洞解决
qq_46119575的博客
01-05 1万+
Spring Boot后端: Actuator授权访问漏洞解决
使用SpringBoot Actuator监控应用示例
08-27
ActuatorSpring Boot提供的对应用系统的自省和监控的集成功能,可以对应用系统进行配置查看、相关功能统计等。这篇文章主要介绍了使用SpringBoot Actuator监控应,有兴趣的可以了解一下
Springboot actuator应用后台监控实现
08-19
主要介绍了Springboot actuator应用后台监控实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Springboot actuator生产就绪功能实现解析
08-19
主要介绍了Springboot actuator生产就绪功能实现解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
记一次网关项目Actuator授权访问漏洞的修复方案
DearLC的博客
07-13 5903
springboot actuator授权访问漏洞修复方案
Spring Boot Actuator授权访问漏洞利用
热门推荐
Bird&Bird
08-24 4万+
目录一、前言二、端点描述三、漏洞发现四、漏洞利用五、安全措施六、安全建议 一、前言 ActuatorSpring Boot 提供的服务监控和管理中间件。当 Spring Boot 应用程序运行时,它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置,就有可能导致一些系统信息泄露、XXE、甚至是 RCE 等安全问题。 二、端点描述 官方文档对每个端点的功能进行了描述。 路径 描述 /autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过 /be
Spring Boot Actuator 授权访问远程代码执行
qq_42947816的博客
07-05 2533
ActuatorSpring Boot提供的服务监控和管理中间件,默认配置会出现接口授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限
【运维与服务治理】actuator服务监控与管理
藏经阁
05-06 911
actuatorspring boot项目中非常强大的一个功能,有助于对应用程序进行监控和管理,通过restful api请求来监管、审计、收集应用的运行情况,针对微服务而言它是必不可少的一个环节。 一、 Endpoints actuator的核心部分,它用来监视应用程序及交互,spring-boot-actuator中已经内置了非常多的Endpoints(health、info、beans、h...
Spring Boot Actuator 授权访问为入口
MartinDingH的博客
06-24 1318
最近在公司从一波漏扫中扫到一个Spring Boot Actuator 授权访问漏洞,于是研究了一下,技术有限,希望大佬多提提宝贵意见,谢谢啦。首先,发现漏洞后查看/actuator目录,发现确实存在授权访问。本想查看一下env目录,听说又可以利用的信息,但是报404,可能设置了禁止访问吧。然后访问了configprops目录,发现了redis的IP和端口,端口就是redis的默认端口6379.想看下redis存不存在授权访问,连了一下发现要认证,看来还是我想的轻松了。于是下载了heapdump信息,
SpringBoot Actuator授权访问
07-27
对于Spring Boot Actuator授权访问问题,您可以尝试以下解决方法: 1. 检查Spring Boot Actuator的配置:确保您的应用程序的配置文件中没有开启Actuator的安全认证。默认情况下,Actuator的安全认证是关闭的,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值