Springboot Actuator未授权访问漏洞

已于 2024-08-05 11:10:32 修改
阅读量395 收藏 2
点赞数 4
文章标签: 未授权访问漏洞
于 2024-08-05 11:09:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68186313/article/details/140921643
版权

Springboot Actuator未授权访问漏洞

Actuator是springboot提供的用来对应用系统进行自省和监控的功能模块,借助于Actuator开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在Actuator启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息,从而导致信息泄露甚至服务器被接管的事件发生

1、使用以下Fofa语句搜索资产并打开页面访问

2、当web应用程序出现4xx、5xx错误时显示类似以下页面就能确定当前web应用是使用了springboot框架

3、拼接以下路径查看泄漏的数据

浅秋沐玖
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringbootActuator授权访问漏洞
潇逗
05-28 4565
ActuatorSpringBoot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。然而,其默认配置会出现接口授权访问,导致部分接口会泄露网站数据库连接信息等配置信息,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
【高危】Spring Boot Actuator授权访问
imudges_hanhaoyu的博客
05-29 737
一个SpringBoot的项目,采用了若依的框架,不知道是框架自带的还是有人单独加的,项目里用到了。(以下简称SBA)主要用于Spring Boot应用的健康检查,配合K8S可用于服务部署,切换流量,监控报警等场景。但是就我的理解,这个项目是一个比较简单的项目,应该是用不到Spring Boot Actuator的然后,被检测出来,有漏洞了。。。
可造成敏感信息泄露!Spring BootActuator信息泄露漏洞三种利用方式总结
WangsuSecurity的博客
08-02 2089
如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患。其中heapdump作为Actuator组件最为危险的Web端点,因授权访问被恶意人员获取后进行分析,可进一步获取敏感信息。
如何解决 Spring Boot Actuator授权访问漏洞
09-22 3860
的作用是提供了一组管理和监控端点,允许你查看应用程序的运行时信息,例如健康状态、应用程序信息、性能指标等。这些端点对于开发、和运维团队来说都非常有用,可以帮助快速诊断问题、监控应用程序的性能,并采取必要的措施来维护和管理应用程序。
Spring Boot Actuator授权访问排查和整改指南
weixin_44106034的博客
10-19 2万+
1、信息泄露:授权访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对授权用户开放。2、系统破坏:攻击者可以通过Actuator端点的授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
SpringBoot Actuator授权访问漏洞修复
JHIII的博客
08-25 2万+
目前SpringBoot得框架,越来越广泛,大多数中小型企业,在开发新项目得时候。后端语言使用java得情况下,首选都会使用到SpringBoot。在很多得一些开源得框架中,例如: ruoyi若以,这些。不知道是出于什么原因?我们都会在这些框架中得pom文件中找到的依赖。嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件中;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。例如下面:对于这些漏洞,我们开始修复喽!!!
springboot Actuator授权访问漏洞
qq_45382625的博客
08-29 745
Spring Boot 2.X 中,Actuator 默认开放 health 和 info 两个端点,如果需要配置开放所有端点(配置值为 "*" 代表所有)
Spring Boot Actuator授权访问漏洞
qq_35456400的博客
08-10 1万+
Spring Boot Actuator 端点的授权访问漏洞是一个安全性问题,可能会导致授权的用户访问敏感的应用程序信息。可是并不用太过担心,Spring Boot Actuator 默认暴漏的信息有限,一般情况下并不会暴露敏感数据。注册中心有些功能集成了actuator,如果同时使用eureka和actuator,可以在eureka中点击注册链接查看健康状态信息(/actuator/info)。
Spring Boot Actuator授权访问漏洞利用
热门推荐
Bird&Bird
08-24 5万+
目录一、前言二、端点描述三、漏洞发现四、漏洞利用五、安全措施六、安全建议 一、前言 ActuatorSpring Boot 提供的服务监控和管理中间件。当 Spring Boot 应用程序运行时,它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置,就有可能导致一些系统信息泄露、XXE、甚至是 RCE 等安全问题。 二、端点描述 官方文档对每个端点的功能进行了描述。 路径 描述 /autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过 /be
web渗透测试漏洞复现:Springboot Actuator授权漏洞复现
HACKONE的博客
03-28 1271
pring Boot ActuatorSpring Boot 框架中非常重要的一个模块,设计用于增强应用程序在生产环境中的可观察性和管理能力。Actuator 提供了一系列内建的端点(Endpoints),这些端点可通过 HTTP 或 JMX 接口暴露应用的健康状况、度量指标、审计信息、环境属性、 Beans 列表等多种内部状态信息。
springboot actuator授权访问漏洞修复
07-23
然而,这些端点如果没有正确配置,可能会导致授权访问的问题,特别是对于`/info`、`/health`等敏感信息。 针对这个漏洞的修复通常包括以下几个步骤: 1. **限制默认路径**:在`application.yml`或`application....
修复SpringBoot Actuator授权访问遇到的问题
web13116256725的博客
09-10 2829
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
SpringBoot Actuator授权访问漏洞的解决方法
MichaelZ的博客
05-08 3293
Spring Boot Actuator 是一个用于监控和管理 Spring Boot 应用程序的功能模块。它提供了一系列生产就绪的功能,帮助你了解应用程序的运行状况,以及在运行时对应用程序进行调整。Actuator 使用了 Spring MVC 来暴露各种 HTTP 或 JMX 端点,通过这些端点你可以获取到应用程序的运行信息,如健康状态、指标、线程 dump、环境变量等。健康检查:可以检查应用程序的运行状况,包括数据库连接、磁盘空间、服务状态等。指标收集。
授权访问漏洞
最新发布
2201_75572825的博客
08-08 1134
授权访问漏洞是指攻击者可以在不经过身份验证或授权的情况下,访问网站的敏感资源或功能.这种漏洞通常发生在网站没有正确实施访问控制机制或存在安全配置错误的情况下,导致可以让任意用户或者限制访问用户可以访问到内部敏感信息。
Spring Boot后端: Actuator授权访问漏洞解决
qq_46119575的博客
01-05 1万+
Spring Boot后端: Actuator授权访问漏洞解决
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值