SpringBoot应用监控Actuator使用的安全隐患

最新推荐文章于 2024-05-28 09:55:01 发布
最新推荐文章于 2024-05-28 09:55:01 发布
阅读量2.9k 收藏 2
点赞数 1
分类专栏: SpringBoot应用监控Actuator使用的安全隐患 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37916282/article/details/105422459
版权

转载:https://xz.aliyun.com/t/2233

 

============================================================================================

SpringBoot应用监控Actuator使用的安全隐患

问题阐述

由于系统被扫描出来有安全漏洞,发现访问http://xxxxxx/env或者http://xxxxxx/trace等地址,泄漏了内部机器ip、端口、访问路径、系统环境变量的配置等信息查询网上资料则发现是使用了SpringBoot应用监控Actuator导致的,即看以下内容。

概述 

微务作为一项在云中部署应用和服务的新技术是当下比较热门话题,而微服务的特点决定了功能模块的部署是分布式的,运行在不同的机器上相互通过服务调用进行交互,业务流会经过多个微服务的处理和传递,在这种框架下,微服务的监控显得尤为重要。

Actuator正是Spring Boot提供的对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。如果使用不当或者一些不经意的疏忽,可能造成信息泄露等严重的安全隐患。

Actuator监控

分成两类:原生端点和用户自定义扩展端点,原生的主要有:

HTTP请求方法路径描述
GET/autoconfig提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过
GET/beans描述应用程序上下文里全部的Bean,以及它们的关系
GET/env获取全部环境属性
GET/env/{name}查看具体变量值
GET/configprops描述配置属性(包含默认值)如何注入Bean
GET/dump获取线程活动的快照
GET/health报告应用程序的健康指标,这些值由HealthIndicator的实现类提供
GET/info获取应用程序的定制信息,这些信息由info打头的属性提供
GET/mappings描述全部的URI路径,以及它们和控制器(包含Actuator端点)的映射关系
GET/metrics报告各种应用程序度量信息,比如内存用量和HTTP请求计数
GET/metrics/{name}查看具体应用程序指标
POST/shutdown关闭应用程序,要求endpoints.shutdown.enabled设置为true
GET/trace

提供基本的HTTP请求跟踪信息(时间戳、HTTP头等)


Actuator使用

Actuator应用监控使用只需要添加spring-boot-starter-actuator依赖即可,如下:

     <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-actuator</artifactId>
        </dependency>

 

此时,运行示例,访问/env即可查看系统环境变量的配置信息,之后再访问/trace即可查看所有Web请求的详细信息,包括请求方法、路径、时间戳以及请求和响应的头信息甚至cookie信息,如图:

安全措施

如果上述请求接口不做任何安全限制,安全隐患显而易见。实际上Spring Boot也提供了安全限制功能。比如要禁用/env接口,则可设置如下:

endpoints.env.enabled= false

配置好后重启服务再访问地址则返回此终结点已禁用

 

如果只想打开一两个接口,那就先禁用全部接口,然后启用需要的接口:

endpoints.enabled = false
endpoints.xxx.enabled = true

 

另外也可以引入spring-boot-starter-security依赖

     <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

 

在application.properties中指定actuator的端口以及开启security功能,配置访问权限验证,这时再访问actuator功能时就会弹出登录窗口,需要输入账号密码验证后才允许访问。

management.port=8099
management.security.enabled=true
security.user.name=admin
security.user.password=admin

 

安全建议

在使用Actuator时,不正确的使用或者一些不经意的疏忽,就会造成严重的信息泄露等安全隐患。在代码审计时如果是springboot项目并且遇到actuator依赖,则有必要对安全依赖及配置进行复查。也可作为一条规则添加到黑盒扫描器中进一步把控。
安全的做法是一定要引入security依赖,打开安全限制并进行身份验证。同时设置单独的Actuator管理端口并配置不对外网开放。

weixin_37916282
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot Actuator详解与漏洞利用
做自己喜欢的事,并将其发挥到极致!
08-19 6526
由Pivotal团队提供的全新框架,其设计的目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。ActuatorSpring Boot提供的对应用系统的监控和管理。
记一次禁用springboot所有Actuator端点以防止对外暴露任何运行时信息的操作
Sukamuljo的博客
02-21 2103
禁用springboot所有actuator端点以防止对外暴露信息
SpringbootActuator未授权访问漏洞
最新发布
潇逗
05-28 2773
ActuatorSpringBoot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。然而,其默认配置会出现接口未授权访问,导致部分接口会泄露网站数据库连接信息等配置信息,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
Actuator内存泄露及利用&Swagger未授权&自动化测试实现
qq_46081990的博客
12-20 2640
本文主要介绍了Actuator和Swagger的未授权访问导致的漏洞利用。Actuator提供了一系列端点用于监控和管理Spring Boot应用程序,但配置不当可能导致敏感信息泄露。Swagger是一个方便开发人员进行接口开发和测试的工具,可用于自动化接口漏洞安全测试。使用Postman、BurpSuite和Xray进行工具联动,自动化测试Swagger接口,可大大提升效率。
spring boot相关漏洞之零散笔记
qq_45233918的博客
12-21 3143
这是2016年爆出的一个洞,利用条件是使用springboot的默认错误页(Whitelabel Error Page),存在漏洞的页面在:/spring-boot-autoconfigure/src/main/java/org/springframework/boot/autoconfigure/web/ErrorMvcAutoConfiguration.java。可以通过 /jolokia/list 接口寻找可以利用的 MBean,间接触发相关 RCE 漏洞、获得星号遮掩的重要隐私信息的明文等。
Spring Boot Actuator 漏洞利用
rev1ve的博客
11-02 1043
2.x版本1.x版本这个端点会泄露Spring 的 ConfigurableEnvironment 公开属性,其中包括系统版本,环境变量信息、内网地址等信息,但是一些敏感信息会被关键词匹配,做隐藏*处理,但是如果开发的密码字段不规范,可能直接导致泄露数据库密码。
使用SpringBoot Actuator监控应用示例
08-27
SpringBoot ActuatorSpring Boot框架中的一个核心组件,专门用于应用程序的监控和管理。它提供了一组丰富的端点(endpoints),允许开发者深入了解应用程序的运行状态、性能指标、配置信息等,从而帮助优化和维护...
springboot 使用Spring Boot Actuator监控应用小结
08-28
Spring Boot ActuatorSpring Boot 框架提供的对应用系统的自省和监控的集成功能,可以查看...使用 Spring Boot Actuator 可以快速便捷地监控应用程序,查看应用程序的各种信息,提高应用程序的可靠性和可维护性。
一个使用springboot actuator监控应用的实战项目例子
04-16
一个使用springboot actuator监控应用的实战项目例子,对于想使用actuator监控应用的初级程序员来说是一个不错的学习例子! 关注我!给我留言或者私信发邮箱,看到的话可以给你们发资源哦~
Springboot actuator应用后台监控实现
08-19
通过 Springboot actuator,可以实现后台应用监控,主要介绍了 Springboot actuator 应用后台监控实现,通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值。 一、前言 Springboot 的一个...
prometheus监控springboot应用简单使用介绍详解
08-26
使用Prometheus监控SpringBoot应用,需要在pom.xml文件中添加Actuator和Prometheus的依赖项。 ```xml <groupId>org.springframework.boot <artifactId>spring-boot-starter-actuator <groupId>io....
SpringBoot2.x(十七)Actuator监控实战
IT哈哈的博客
09-08 319
什么是actuator 官方介绍 Spring Boot包含许多附加功能,可帮助您在将应用程序投入生产时监视和管理应用程序。 可以选择使用HTTP端点或JMX来管理和监控您的应用程序,自动应用于审计,健康和指标收集; 一句话:springboot提供用于监控和管理生产环境的模块 官方文档 用来干嘛 有时我们需要编写一个定时任务不断查看某应用程序的系统情况(如内存占用率、磁盘占用率、...
Spring Boot Actuator未授权访问排查和整改指南
热门推荐
weixin_44106034的博客
10-19 2万+
1、信息泄露:未授权的访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对未授权用户开放。2、系统破坏:攻击者可以通过Actuator端点的未授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
Spring BootSpring Cloud兼容版本选择信息
weixin_42213903的博客
02-23 328
通过 https://start.spring.io/actuator/info 网址可获取所有相关信息 以下是发布此文章 时(2020-02-23)获取的最新版本相关信息 { "git": { "commit": { "time": "2020-02-19T14:53:59Z", "id": "4265e9e" ...
spring-boot-starter-actuator
weixin_45729934的博客
11-08 646
springboot框架,自带了actuator监控,在pom中引入jar包即可,如下 1、引入jar <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-actuator</artifactId> </dependency> 在2.0版本之后改动很大,我这里是用的2.0.2 2、启动项目后即可访问 http://localhost:8081/ac
渗透系列之Spring boot应用监控Actuator安全隐患
Websec
09-15 1万+
参考文章: https://xz.aliyun.com/t/2233 SpringBoot漏洞全家桶: https://github.com/LandGrey/SpringBootVulExploit Actuator标记图: 概述 微服务作为一项在云中部署应用和服务的新技术是当下比较热门话题,而微服务的特点决定了功能模块的部署是分布式的,运行在不同的机器上相互通过服务调用进行交互,业务流会经过多个微服务的处理和传递,在这种框架下,微服务的监控显得尤为重要。 而Actuator正是Spri
SpringBoot2.x系列教程(七十)Spring Boot Actuator集成及自定义Endpoint详解
程序新视界
07-12 1025
前言 曾经看到Spring Boot Actuator这个框架时,一直在想,它到底有什么作用呢?虽然知道它提供了很多端点,有助于应用程序的监控和管理,但如果没有直接的实践案例,还是很难有说服力的。 直到上篇文章《微服务架构:Nacos本地缓存 PK 微服务优雅下线》中讲到可以利用其中Actuator定义的端点来达到微服务的优雅下线效果,才发现Actuator是真的很有用。 那么本文便基于Spring Boot系统如何集成Actuator,如何使用,以及如何自定义一个端点(Endpoint)来展开。 Spri
spring框架漏洞整理(Spring Boot Actuator相关漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 1836
​本文搜集了所有 spring 相关漏洞,对它们的利用条件和检测方式进行梳理和总结,希望在面对 spring 的时候能够有一个更完整的思路。这里更多是的是的利用条件和检测方式的总结,主要以发现漏洞为目的,至于如何将漏洞效果最大化这里不做过多介绍,网上资料很多,直接查对应文章即可。本文重点讲解Spring Boot Actuator相关漏洞 Spring Boot Actuator相关漏洞 主要参考文章了https://github.com/LandGrey/SpringBootVulExploit 这篇文章
【security】spring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
孟秋与你的博客
05-13 1万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的security。 security最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值