Actuator Information Leakage

已于 2023-05-06 22:11:15 修改
阅读量686 收藏 1
点赞数 1
分类专栏: 优秀文章 秀秀 文章标签: java 开发语言
于 2023-05-06 21:57:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52549196/article/details/130536260
版权
优秀文章 同时被 2 个专栏收录
166 篇文章 51 订阅 ¥9.90 ¥99.00
订阅专栏
秀秀
178 篇文章 0 订阅
订阅专栏
本文探讨了Spring Boot Actuator在不同版本中的安全问题,特别是信息泄露风险。未授权访问可能导致自动配置报告、环境属性、健康指标、线程活动等敏感信息暴露。在1.x版本中,端点位于根URL,而2.x版本移到/actuator/路径下。通过访问/trace端点可能获取到请求信息,甚至利用heapdump Tool分析堆栈信息来获取明文数据。
摘要由CSDN通过智能技术生成

Actuator Information Leakage

Spring Boot < 1.5 默认未授权访问所有端点
Spring Boot >= 1.5 默认只允许访问/health和/info端点,但是此安全性通常被应用程序开发人员禁用

路径 描述
/autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过
/beans 描述应用程序上下文里全部的Bean,以及它们的关系
/env 获取全部环境属性
/configprops 描述配置属性(包含默认值)如何注入Bean
/dump 获取线程活动的快照
/health 报告应用程序的健康指标,这些值由HealthIndicator的实现类提供
/info 获取应用程序的定制信息,这些信息由info打头的属性提供
/mappings 描述全部的URI路径,以及它们和控制器(包含Actuator端点)的映射关系
/metrics 报告各种应用程序度量信息,比如内存用量和HTTP请求计数
/shutdown 关闭应用程序,要求endpoints.shutdown.enabled设置为true
/trace 提供基本的HTTP请求跟踪信息(时间戳、HTTP头等)

Spring Boot 1.x版本端点在根URL下注册。
Spring Boot 2.x版本端点移动到/actuator/路径。

访问/trace端点获取到近期服务器收到的请求信息。如果存在登录用户的操作请求,可以伪造cookie进行登录。

在这里插入图片描述

下载/heapdump获取堆栈信息,通过heapdump_tool工具获取明文。

下载地址 https://toolaffix.oss-cn-beijing.aliyuncs.com/wyzxxz/20230425/heapdump_tool.jar

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

????27282
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Spring Boot Actuator详解与漏洞利用
做自己喜欢的事,并将其发挥到极致!
08-19 6627
由Pivotal团队提供的全新框架,其设计的目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。Actuator是Spring Boot提供的对应用系统的监控和管理。
spring框架漏洞整理(Spring Boot Actuator相关漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 1872
​本文搜集了所有 spring 相关漏洞,对它们的利用条件和检测方式进行梳理和总结,希望在面对 spring 的时候能够有一个更完整的思路。这里更多是的是的利用条件和检测方式的总结,主要以发现漏洞为目的,至于如何将漏洞效果最大化这里不做过多介绍,网上资料很多,直接查对应文章即可。本文重点讲解Spring Boot Actuator相关漏洞 Spring Boot Actuator相关漏洞 主要参考文章了https://github.com/LandGrey/SpringBootVulExploit 这篇文章
SpringbootActuator信息泄露漏洞利用
JHIII的博客
08-30 3万+
Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信息以及Web请求的详细信息等。如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患(外部人员非授权访问Actuator端点)。...
spring boot相关漏洞之零散笔记
qq_45233918的博客
12-21 3359
这是2016年爆出的一个洞,利用条件是使用了springboot的默认错误页(Whitelabel Error Page),存在漏洞的页面在:/spring-boot-autoconfigure/src/main/java/org/springframework/boot/autoconfigure/web/ErrorMvcAutoConfiguration.java。可以通过 /jolokia/list 接口寻找可以利用的 MBean,间接触发相关 RCE 漏洞、获得星号遮掩的重要隐私信息的明文等。
Spring Boot Actuator敏感信息泄露漏洞
希望能找到你的答案
05-20 3273
Spring Boot Actuator 提供生产级别的功能,比如监控、追踪、控制,审计,指标收集等,帮助监控和管理Spring Boot 应用。Spring Boot Actuator敏感信息泄露漏洞,比如访问URL: http://xx.xx.xx.xx/actuator/env ,可获取到环境配置信息。
Spring Boot 监控模块 Actuator,让你实时了解项目的运行状态和性能瓶颈
兴趣是最好的老师,勤能补拙
06-14 5102
除了使用 Actuator 默认端点之外,我们还可以根据自己的业务需求自定义 Actuator 端点。自定义 Actuator 端点需要实现Endpoint接口,并重写getId()和invoke()方法。例如,以下代码实现了一个名为MyEndpoint} }实现自定义 Endpoints 后,我们需要通过设置来公开它们。在这将允许我们通过访问端点来查看自定义的端点信息。
11springboot+actuator监控1
08-08
在Spring Boot生态系统中,Spring Boot Actuator是一个非常重要的模块,它为我们的应用程序提供了丰富的监控和管理功能。通过Actuator开发者可以轻松地了解应用的健康状况、性能指标、日志输出以及更多的运行时...
Spring Boot Actuator.xmind
05-17
自己整理的一些actuator学习记录,还算详细
示例代码:spring actuator添加自定义endpoint
最新发布
06-15
在Spring Boot应用中,Spring Actuator是一个强大的模块,它提供了丰富的监控和管理端点,用于健康检查、指标收集、环境信息展示等。本示例将详细介绍如何在Spring Actuator中添加自定义的Endpoint,以便扩展其功能...
Spring Boot Actuator端点相关原理解析
08-18
Spring Boot Actuator 端点相关原理解析 Spring Boot Actuator 是一个功能强大且广泛使用的组件,它提供了众多的Web端点,通过这些端点,我们可以了解应用程序运行时的内部状况,掌握应用程序可以获取的环境属性...
Spring Boot Actuator执行器运行原理详解
08-24
Spring Boot Actuator 执行器运行原理详解 Spring Boot Actuator 执行器是 Spring Boot 框架中的一种功能强大且实用的模块,用于监视和管理 Spring Boot 应用程序。在本文中,我们将详细介绍 Spring Boot Actuator ...
Spring boot带来的信息泄露
就是我的博客
05-05 1万+
一、什么是Actuator Spring Boot Actuators 模块端点信息官方文档: Spring Boot Actuator Web API Documentation Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的..
SpringBoot 监控神器——Actuator 保姆级教程
Java知音
06-03 6808
SpringBoot自带监控功能Actuator,可以帮助实现对程序内部运行情况监控,比如监控状况、Bean加载情况、环境变量、日志信息、线程信息等配置Actuatorpom.xml<!--webstart--> <dependency> <groupId>org.springframework.boot</groupId> &l...
Springbootactuator配置不当的漏洞利用
独行侠的守望の博客
04-17 1万+
转载地址:https://www.freebuf.com/news/193509.html,学习留存,有疑问请联系本人删除。 Springbootactuator配置不当的漏洞利用 T-T2019-01-14共651761人围观 ,发现12个不明物体WEB安全资讯 *本文原创作者:T-T,本文属FreeBuf原创奖励计划,未经许可禁止转载 前言 Actuator 是 sprin...
SpringBoot——四大核心之指标监控(actuator
★★光亭★★
11-11 1万+
SpringBoot——四大核心之指标监控(actuator
Spring boot——Actuator 详解
热门推荐
weixin_45985053的博客
07-19 3万+
SpringBoot提供了所谓的endpoints(下文翻译为端点)给外部来与应用程序进行访问和交互。打比方来说,/health端点提供了关于应用健康情况的一些基础信息。metrics端点提供了一些有用的应用程序指标(JVM内存使用、系统CPU使用等)。这些Actuator模块本来就有的端点我们称之为原生端点。应用配置类获取应用程序中加载的应用配置、环境变量、自动化配置报告等与SpringBoot应用密切相关的配置类信息。度量指标类操作控制类提供了对应用的关闭等操作类功能。...
SpringBoot监控模块Actuator的用法详解
bobozai86的博客
01-14 1252
除了使用 Actuator 默认端点之外,我们还可以根据自己的业务需求自定义 Actuator 端点。自定义 Actuator 端点需要实现Endpoint接口,并重写getId()和invoke()方法。例如,以下代码实现了一个名为MyEndpoint@Component@Override@Override实现自定义 Endpoints 后,我们需要通过设置来公开它们。在endpoints:web:exposure:这将允许我们通过访问端点来查看自定义的端点信息。
解决SpringBoot应用Actuator暴露内部信息
在下令狐的博客
08-23 2544
解决SpringBoot应用Actuator暴露内部信息 修复前 修复后 修改配置文件 yml配置文件中增加 management.endpoint.env.enabled = false management.server.port= -1 management: security: health: elasticsearch: enabled: false endpoints: web: exposure: includ
idea actuator
02-18
Idea Actuator是CSDN开发的一款开发工,用于帮助开发者快速构建和部署Java应用程序。它提供了一系列功能,包括代码生成、自动化构建、持续集、部署和监控等。通过使用Idea Actuator开发者可以更加高效地进行软件开发和发布。 Idea Actuator的主要特点包括: 1. 代码生成:Idea Actuator可以根据开发者的需求自动生成代码,包括实体类、控制器、服务等。这样可以大大减少开发者的工作量,提高开发效率。 2. 自动化构建:Idea Actuator支持自动化构建工具,如Maven和Gradle。它可以自动下载依赖库、编译代码、运行测试等,简化了项目的构建过程。 3. 持续集成:Idea Actuator可以与持续集成工具(如Jenkins)集成,实现自动化的构建、测试和部署。这样可以保证代码的质量和稳定性,并提高团队协作效率。 4. 部署和监控:Idea Actuator提供了一套完整的部署和监控解决方案。它可以将应用程序打包成可执行文件,并提供了监控和管理界面,方便开发者进行应用程序的部署和运维。 总之,Idea Actuator是一款功能强大的开发工具,可以帮助开发者快速构建和部署Java应用程序,提高开发效率和代码质量。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

????27282

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值