springcloud actuator暴露端点漏洞修复

最新推荐文章于 2024-07-22 02:35:03 发布
最新推荐文章于 2024-07-22 02:35:03 发布
阅读量445 收藏
点赞数
文章标签: spring cloud spring 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37713521/article/details/131571571
版权

前段时间网络安全的同事突然通知系统漏洞,swagger漏洞和暴露多余端点等,可能会泄露信息。刚开始只是修改了相关配置。如下:

更改config配置

management:
  security:
    enabled: true
security:
  user:
    name: xxx
    password: xxx
  basic:
    enabled: true

endpoints:
  enabled: false
  actuator:
    enabled: true
  shutdown:
    enabled: false

重启config、gateway及所有业务服务后,突然发现测试环境的服务每隔10-20分钟,服务就会重启,分析后发现是k8s的存活探针Liveness Probe造成的,注释掉k8s 启动服务的yaml文件相关配置,再重启服务就没问题了。

在这里插入图片描述

BugGavin_Qin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
12-26
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行 0day 漏洞复现
Spring Boot Actuator监控端点小结
08-30
Spring Boot Actuator监控端点小结 在本文,我们将详细介绍Spring Boot Actuator监控端点小结,主要包括原生端点、应用配置类、度量指标类和操作控制类等内容。同时,我们还将讨论如何扩展和配置这些端点,以满足...
Spring Cloud Gateway集成Actuator的安全漏洞和解决方案
白云
04-18 3671
最近线上环境出现一起安全事件,就是由于Spring Cloud Gateway集成Actuator导致被攻击,攻击者通过动态添加路由规则,导致系统出现异常。下面将详细介绍这一事件。Spring Cloud Gateway集成Actuator后可以提供更多的监控和管理功能,但也增加了安全风险。在使用过程,需要注意限制访问权限和动态路由规则的范围,以避免类似的攻击事件发生。
SpringBoot Actuator API接口信息泄露
最新发布
weixin_36852572的博客
07-22 82
一、SpringBoot ActuatorSpringBoot ActuatorSpringBoot项目的一个监控机制,用于提供了一系列对SpringBoot项目的状态监控,有助于监控项目上线后的运行状态、组件状态等。这些监控项称之为端点(endpoint),可以通过API接口进行访问,但是配置不当可能出现敏感信息泄露...
SpringCloudGateway爆漏洞,快看看你的服务招没?
Java笔记虾
03-13 1452
点击关注公众号,利用碎片时间学习同学们,最近相信大家都看到了SpringCloudGateway爆出相关漏洞信息了,既然如此,你们还不抓紧修改自己的程序吗?即使你没涉及到此次的漏洞,我也...
当你发现你的服务器actuator服务暴露
KD的疯狂实验室
02-24 494
当你的服务器发现actuator暴露之后,是在将来被安全机构测试发现漏洞再甩你一脸的机会?还是彻底终结这一风险?
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)
sum_boluo的博客
11-03 2646
漏洞
Spring Boot Actuator端点相关原理解析
08-18
Spring Boot Actuator 端点相关原理解析 Spring Boot Actuator 是一个功能强大且广泛使用的组件,它提供了众多的Web端点,通过这些端点,我们可以了解应用程序运行时的内部状况,掌握应用程序可以获取的环境属性...
Spring Boot Actuator执行器运行原理详解
08-24
下面给出了 Some 重要的 Spring Boot Actuator 端点,可以在 Web 浏览器输入它们并监视应用程序行为: * `/metrics` 查看应用程序指标,例如使用的内存,无内存,线程,类,系统正常运行时间等。 * `/env` 查看...
springcloud 后台管理系统
07-06
若需要监控服务状态和性能,可以接入 Spring Cloud Actuator。此外,还可以利用 Sleuth 和 Zipkin 进行服务跟踪,优化系统性能。 整体而言,Spring Cloud 提供了一个完整的微服务解决方案,使得开发者可以快速构建...
python服务集成到springcloud平台方法
11-10
7. **监控与日志:** 为了便于管理和监控,Python服务需要集成SpringCloud的监控工具(如Spring Cloud Actuator),并使用相同的日志系统(如Logstash、ELK Stack)进行日志收集和分析。 8. **测试与持续集成:** ...
SpringSpringCloud视频
02-02
4. **Spring Boot Actuator**:监控和度量应用性能的工具,包括端点的使用和安全配置。 5. **Spring Boot DevTools**:开发者工具,支持热部署、应用重启等功能。 6. **Spring Boot与数据库集成**:JDBC、MyBatis、...
SpringBoot+SpringCloud面试题.doc
06-07
Spring Boot和Spring Cloud是现代Java开发的两个关键框架,它们在构建微服务架构起着至关重要的作用。Spring Boot作为Spring框架的一个子项目,旨在简化应用程序的创建和配置过程,而Spring Cloud则提供了全面的...
springcloud基础
06-17
在实际开发,还需要关注安全(Spring Cloud Security)、监控(Spring Boot Actuator)等方面,确保系统的健壮性和稳定性。同时,不断跟进 Spring Cloud 的最新版本,了解其新增功能和改进,以便更好地适应云计算...
Spring Cloud.pdf
10-26
Spring Cloud 学习笔记 Spring Cloud 是基于 Spring Boot 的一站式解决方案,提供了分布式系统的开发、测试、部署和管理的全生命周期支持。该笔记记录了 Spring Cloud 的学习过程,从微服务架构概述到服务注册与...
Actuator内存泄露及利用&Swagger未授权&自动化测试实现
qq_46081990的博客
12-20 2878
本文主要介绍了Actuator和Swagger的未授权访问导致的漏洞利用。Actuator提供了一系列端点用于监控和管理Spring Boot应用程序,但配置不当可能导致敏感信息泄露。Swagger是一个方便开发人员进行接口开发和测试的工具,可用于自动化接口漏洞安全测试。使用Postman、BurpSuite和Xray进行工具联动,自动化测试Swagger接口,可大大提升效率。
Spring Boot Actuator敏感信息泄露漏洞
希望能找到你的答案
05-20 3269
Spring Boot Actuator 提供生产级别的功能,比如监控、追踪、控制,审计,指标收集等,帮助监控和管理Spring Boot 应用。Spring Boot Actuator敏感信息泄露漏洞,比如访问URL: http://xx.xx.xx.xx/actuator/env ,可获取到环境配置信息
Spring actuator漏洞防御措施
Hack_ing的博客
05-07 572
Spring Actuator漏洞防御措施
springcloud security actuator
10-16
Spring Cloud Security ActuatorSpring Boot Actuator 的扩展,它提供了一些安全相关的端点,例如 /health、/info、/metrics 等。它还提供了一些额外的端点,例如 /auditevents、/beans、/conditions、/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值