修复SpringBoot Actuator未授权访问遇到的问题

最新推荐文章于 2023-10-19 20:39:36 发布
VIP文章 最新推荐文章于 2023-10-19 20:39:36 发布
阅读量2.6k 收藏 2
点赞数 1
分类专栏: 面试 学习路线 阿里巴巴 文章标签: spring boot java 运维 stm32 servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web13116256725/article/details/126800629
版权

问题场景:线上页面安全测试反馈存在SpringBoot Actuator未授权访问问题。简单说就是访问https://xxx.xx.x/actuator/env(xxx.xx.x,页面调用接口域名)时,会返回全部环境属性。

****风险分析:****Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。

Actuator 相关信息可以自行检索了解,在查找解决方案时,发现主要有以下几种处理:
1.禁用/env接口

management:
  endpoint:
    env:
      enabled: false

2.可以在配置文件中把暴露出的端点排除掉

#开启所有的端点访问(目前 health和info是默认开启的)
management.endpoints.web.exposure.include=*
#屏蔽掉health端点
management.endpoints.web.exposure.exclude=health

3.引入spring-boot-starter-security依赖

<dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
</de
最低0.47元/天 解锁文章
web13116256725
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透测试漏洞复现:Springboot Actuator授权漏洞复现
HACKONE的博客
03-28 220
pring Boot ActuatorSpring Boot 框架非常重要的一个模块,设计用于增强应用程序在生产环境的可观察性和管理能力。Actuator 提供了一系列内建的端点(Endpoints),这些端点可通过 HTTP 或 JMX 接口暴露应用的健康状况、度量指标、审计信息、环境属性、 Beans 列表等多种内部状态信息。
一个使用springboot actuator监控应用的实战项目例子
04-16
一个使用springboot actuator监控应用的实战项目例子,对于想使用actuator来监控应用的初级程序员来说是一个不错的学习例子! 关注我!给我留言或者私信发邮箱,看到的话可以给你们发资源哦~
Consul健康检查报错Get http://node-3:8002/actuator/health: dial tcp 172.28.158.98:8002: connect: connect
qq_35008624的博客
12-20 3361
最近用consul集群服务docker安装方式进行了服务的注册,但是通过注册后发现健康检查总是报错。具体如下: 上面的错误主要是两类错误 1)server不可达,服务器有问题 2) 服务器没问题,但是服务有问题 解决方案: 服务器问题: 通过报错信息可以发现node-3这个地址是不能访问的,这个是宿主机的地址,登录容器ping了下地址是可以的,但是ping主机名是不行的,这个...
Consul注册tomcat服务健康状态报错:HTTP GET http://node-3:8090/actuator/health: 404 Output:
qq_35008624的博客
12-18 1938
记一次Consul注册tomcat项目健康检查错误: HTTP GET http://node-3:8090/actuator/health: 404 Output: <!doctype ht 以上的错误是因为tomcat部署后访问你的时候需要添加项目名,而健康检查的时候请求路径没有项目名,导致报错404, 解决方案: 设置tomcat配置文件server.xml,在Hos...
Springboot actuator无法访问问题
u012249274的专栏
05-26 4224
1.springboot默认只打开了/acutator/health和/actuator/info,如果想要通过web访问其他的节点,需要在applicaiton.properties添加management.endpoints.web.exposure.include=*就可以了 2.一些比较好用的endpoint url function /actuator/health 健康检查 /actuator/beans 查看容器所有bean /actuator/mappi
springcloud+consul报错:HTTP GET http://****:**/actuator/health: 503  Output: {"status":"DOWN"}
weixin_41996632的博客
03-25 3496
一般consul报错具体问题需要定位到错误点需要开启详细信息显示,以及显示哪些内容 在报错的模块配置:application.yml或者bootstrap.yml文件配置如下(正确配置): management: endpoint: shutdown: enabled: true health: show-details: always #显...
SpringbootActuator信息泄露漏洞利用
热门推荐
JHIII的博客
08-30 2万+
Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信息以及Web请求的详细信息等。如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患(外部人员非授权访问Actuator端点)。...
spring boot actuator 授权访问(env泄露redis密码)
lyink001的博客
12-16 8209
actuator 授权访问获取redis密码
Spring Boot Actuator授权访问排查和整改指南
最新发布
weixin_44106034的博客
10-19 1万+
1、信息泄露:授权访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对授权用户开放。2、系统破坏:攻击者可以通过Actuator端点的授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
SpringBoot Actuator授权访问漏洞修复
JHIII的博客
08-25 2万+
目前SpringBoot得框架,越来越广泛,大多数小型企业,在开发新项目得时候。后端语言使用java得情况下,首选都会使用到SpringBoot。在很多得一些开源得框架,例如: ruoyi若以,这些。不知道是出于什么原因?我们都会在这些框架得pom文件找到的依赖。嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。例如下面:对于这些漏洞,我们开始修复喽!!!
详解关于springboot-actuator监控的401无权限访问
08-29
本篇文章主要介绍了详解关于springboot-actuator监控的401无权限访问,非常具有实用价值,有兴趣的可以了解一下
使用SpringBoot Actuator监控应用示例
08-27
ActuatorSpring Boot提供的对应用系统的自省和监控的集成功能,可以对应用系统进行配置查看、相关功能统计等。这篇文章主要介绍了使用SpringBoot Actuator监控应,有兴趣的可以了解一下
Springboot actuator应用后台监控实现
08-19
主要介绍了Springboot actuator应用后台监控实现,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Springboot actuator生产就绪功能实现解析
08-19
主要介绍了Springboot actuator生产就绪功能实现解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring boot actuator 禁用后,/actuator仍可正常访问
baidu_34519249的博客
09-26 3311
项目上线后,被测试出actuator没有关闭,关闭后,仍可正常访问/actuator端点,只是类似/actuator/env这样的无法访问,现在就想把/actuator端点也给禁用了。
如何在Spring Boot禁用Actuator端点安全性?
Blue92120的博客
09-19 653
Spring Boot,禁用Actuator端点的安全性可以通过配置来实现。Actuator端点是Spring Boot应用程序的管理和监控端点,它们默认受到Spring Security的保护。
Spring Boot后端: Actuator授权访问漏洞解决
qq_46119575的博客
01-05 1万+
Spring Boot后端: Actuator授权访问漏洞解决
SpringBoot Actuator授权访问
07-27
对于Spring Boot Actuator授权访问问题,您可以尝试以下解决方法: 1. 检查Spring Boot Actuator配置:确保您的应用程序的配置文件没有开启Actuator的安全认证。默认情况下,Actuator的安全认证是关闭的,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值