Spring Boot Actuator未授权访问漏洞和Apache Druid 漏洞修复

已于 2023-08-03 21:51:49 修改
阅读量9.9k 收藏 14
点赞数 4
分类专栏: Java web Spring 文章标签: java 安全漏洞 spring boot
于 2021-06-24 11:35:00 首次发布
songshao_Blog
本文链接:https://blog.csdn.net/qq_35490191/article/details/118182656
版权
web 同时被 3 个专栏收录
17 篇文章 0 订阅
订阅专栏
Java
9 篇文章 0 订阅
订阅专栏
Spring
1 篇文章 0 订阅
订阅专栏
Spring Boot Actuator未授权访问漏洞

详细描述

​ Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。

解决办法

1.配置认证
在项目的pom.xml文件下引入spring-boot-starter-security依赖

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>

然后在application.properties中开启security功能,配置访问账号密码,重启应用即可弹出。

management.security.enabled=true
security.user.name=admin
security.user.password=admin

2.禁用接口
禁用全部接口:

endpoints.enabled = false

禁用部分接口,如env:

endpoints.env.enabled = false
Apache Druid 未授权访问

详细描述

Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。

Apache Druid 默认情况下缺乏授权认证,从而导致未授权访问漏洞。

解决办法

增加用户名密码配置。

代码修改WebConfiguration
	@Value("${spring.druid.allowed:?}")
	private String druidAllowed;
	@Value("${spring.druid.password:?}")
	private String druidPassword;
	@Bean
	public ServletRegistrationBean servletRegistrationBean(){
		ServletRegistrationBean druidServlet = new ServletRegistrationBean(new StatViewServlet(), "/druid/*");
		Map<String, String> map = new HashMap<String, String>();
		if(!"?".equals(druidPassword)) {
			map.put("loginUsername", "admin");
			map.put("loginPassword", druidPassword);
		}
		if (!"?".equals(druidAllowed)) {
			map.put("allow", druidAllowed);
		}
		druidServlet.setInitParameters(map);
		return druidServlet;
	}
配置文件修改

下面的配置为登录账号和密码

spring.druid.allowed=admin
spring.druid.password=123456
登录页面

http://{ip}:{port}/druid/login.html
登录账号密码为配置文件配置allowed和password
在这里插入图片描述

成功页面

在这里插入图片描述

batype
关注
  • 4
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot Actuator授权访问到getshell
07-18
Spring Boot Actuator授权访问到getshell
Spring Boot Actuator授权访问排查和整改指南
weixin_44106034的博客
10-19 9933
1、信息泄露:授权访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对授权用户开放。2、系统破坏:攻击者可以通过Actuator端点的授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
漏洞复现 - - - Springboot授权访问
最新发布
qq_44005305的博客
03-09 1396
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Spring Boot应用集成Actuator端点自定义Filter解决授权访问漏洞
C_AJing的博客
02-19 1324
我们知道想要实时监控我们的应用程序的运行状态,比如实时显示一些指标数据,观察每时每刻访问的流量,或者是我们数据库的访问状态等等,需要使用到Actuator组件,但是Actuator有一个访问授权问题,简单说就是其他人可以通过Actuator组件暴露的URL进行端点信息访问,甚至shutdown应用。那么我们有没有什么解决方法呢?endpoints:web:exposure:whiteUrl: # 白名单,配置白名单的URL请求时不需要验证,多个可以用英文逗号分隔。
Spring Boot Actuator授权访问漏洞利用
热门推荐
Bird&Bird
08-24 4万+
目录一、前言二、端点描述三、漏洞发现四、漏洞利用五、安全措施六、安全建议 一、前言 ActuatorSpring Boot 提供的服务监控和管理中间件。当 Spring Boot 应用程序运行时,它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置,就有可能导致一些系统信息泄露、XXE、甚至是 RCE 等安全问题。 二、端点描述 官方文档对每个端点的功能进行了描述。 路径 描述 /autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过 /be
SpringBoot Actuator授权访问漏洞修复
JHIII的博客
08-25 2万+
目前SpringBoot得框架,越来越广泛,大多数中小型企业,在开发新项目得时候。后端语言使用java得情况下,首选都会使用到SpringBoot。在很多得一些开源得框架中,例如: ruoyi若以,这些。不知道是出于什么原因?我们都会在这些框架中得pom文件中找到的依赖。嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件中;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。例如下面:对于这些漏洞,我们开始修复喽!!!
漏洞】【DruidDruid授权访问漏洞修复方案。springboot
a987212198的博客
01-20 3万+
Druid授权访问漏洞修复思路漏洞描述解决建议 漏洞描述 漏洞描述: Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控Web URI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成授权访问。 解决建议 解决建议: 修改中间件配置 给出的例子,springboot的配置 spring: datasource: druid: max-active: 10 mi
解决druid 后台弱口令漏洞springboot,亲测可用
weixin_42279465的博客
02-24 3295
druid 后台弱口令漏洞,综合利用漏洞,攻击者可以 登入系统数据库获取敏感数据,上传木马后门,存在安全隐患,具体 情况详情请见验证情况。Druid本身是不存在漏洞的,Druid授权访问是因为开发者配置的不够全面,导致攻击者输入。即可直接即可登录到Druid监控界面,这就是所谓授权,即可访问。修改application.properties文件。
Springboot Actuator授权访问漏洞
lanren312的博客
06-13 2503
ActuatorSpringboot 提供的用来对应用系统进行 自省和监控的功能模块,借助于 Actuator ,开发者可以很方便地对应用系统的某些监控指标进行查 看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点( endpoints )来获取应用系统中的监控信息。非法用户可通过访问默认的执行器端点( endpoints )来获取应用系统中的监控信息。在浏览器中输入 ip:port/方法二:完全禁用Actuator
Spring Boot后端: Actuator授权访问漏洞解决
qq_46119575的博客
01-05 1万+
Spring Boot后端: Actuator授权访问漏洞解决
Spring Boot Actuator端点相关原理解析
08-18
主要介绍了Spring Boot Actuator端点相关原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Boot Actuator执行器运行原理详解
08-24
主要介绍了Spring Boot Actuator执行器运行原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
druid-spring-boot:用于DruidSpring Boot Starter
01-29
德鲁伊Spring Boot Starter Druid Spring Boot Starter将帮助你在Spring Boot中使用Druid。 依赖 <!-- spring boot 1.x --> < dependency> < groupId>com.github.drtrang</ groupId> < artifactId>druid-spring-boot-starter</ artifactId> < version>1.1.10</ version> </ dependency> < dependency> < groupId>com.github.drtrang</ groupId> < artifactId>druid-spring-boot-actuator-starter</ artifactId> < version>1.1.10</ version> </ dependency> <!-- spring boot 2.x --> < dependency> < gr
详解spring-boot actuator(监控)配置和使用
08-29
本篇文章主要介绍了spring-boot actuator(监控)配置和使用,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django 获取表单数据
songshao の blog
07-30 6072
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;能搜索次问题就说明您对Django的基本配置views的基本写法有所了解我就其他方面的做过都的描述了。 表单的基本数据类型 text、password、radio、checkbox、email等; 如何获取这些类型的数据 首先在form中需要把method设置为post。然后views文件中,需要用re...
React 程序打包为App流程
songshao の blog
09-05 5458
文章目录React 程序打包为App流程前言流程:实现过程:一、编写Web 端应该程序,配置package.json文件二、打包React Web应用程序三、使用HBulider 创建App项目,并导入React打包程序四、编辑manifest.json配置文件五、使用云端打包程序并且使用自定义证书六、Google开发者证书生成七、上传云端,下载apk八、执行测试后序 React 程序打包为App流程 前言 ​ 这篇随笔主要是解决本人对web程序打包为安卓APP好奇,通过本人的尝试完成APP打包发布,主要
Django框架 样式丢失问题解决方法
songshao の blog
12-19 1633
之所以说这个问题的原因是因为我部署服务器用的是nigex+faceCGI在window 2008 R2服务器上进行部署的服务器,在服务器部署完成之后就出现了很多无法预测到的问题,这也是我在学习过程中遇到的一个让人可以头皮发麻的问题,现在就总结一下自己的一点点经验。 下面是我个人的解决方案仅供参考: 首先在settings.py文件配置一个静态文件资源地址 STATIC_ROOT = 'C:/P...
Spring Boot Actuator授权访问漏洞
05-24
Spring Boot ActuatorSpring Boot提供的一组用于监控和管理应用程序的端点。这些端点包括/health、/info、/metrics等,通过HTTP请求可以获取应用程序的相关信息。 授权访问漏洞是指攻击者可以通过发送特定的请求,获取到授权的应用程序信息。在Spring Boot Actuator中,如果对端点进行正确的安全配置,攻击者可以通过发送GET请求,获取到应用程序的敏感信息,如应用程序版本、运行状态、数据库连接信息等。 为了避免Spring Boot Actuator授权访问漏洞的发生,可以采取以下措施: 1. 禁用不必要的Actuator端点:可以通过配置文件或注解的方式禁用不必要的Actuator端点,避免敏感信息的泄露。 2. 对Actuator端点进行安全配置:可以通过配置文件或代码的方式对Actuator端点进行安全配置,只允许授权用户进行访问。 3. 更新Spring Boot版本:Spring Boot官方已经修复Actuator授权访问漏洞,升级到最新版本可以避免此漏洞的发生。 总之,Spring Boot Actuator授权访问漏洞需要引起开发人员的重视,应该及时采取相应的安全措施,避免应用程序的敏感信息被泄露。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值