在渗透测试或者基线扫描中,开发者往往会忘记actuator的配置,导致被扫出未授权漏洞。为了解决这个问题,我记录一种修复的方法,最好用的是“一刀切”。
在yml配置文件中写入:
management:
server:
port: -1
endpoints:
enabled-by-default: false
web:
exposure:
include: '*'
因为计算机的端口在1-65535,所以配置端口为-1,永远无法监听到。