修复SpringBoot Actuator未授权访问遇到的问题

已于 2023-03-31 09:39:40 修改
阅读量4.4k 收藏 9
点赞数 3
文章标签: spring boot 后端 java
于 2023-03-30 16:55:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45393972/article/details/129860984
版权

原由:风险检测扫出漏洞

访问http://xxx.xx.x/actuator 会直接获取到系统监控信息,存在安全问题,禁用actuator

1.禁用/env接口

缺点:谁都不可以访问不够灵活

会展示部分信息,漏扫严格的话建议替换其他方法

management:
  endpoint:
    env:
      enabled: false

2.直接屏蔽所有端口

缺点:谁都不可以访问不够灵活

management:
  endpoints:
    web:
      exposure:
        include: "*"
    enabled-by-default: false

3.引入spring-boot-starter-security依赖,增加登录认证

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

配置文件增加

spring:
  security:
    user:
      name: admin
      password: admin
management:
  server:
    port: 8099
  endpoints:
    web:
      exposure:
        include: "*"

 4.添加全局过滤拦截类,增加登录认证

在项目目录新建config文件夹,新建下面两个文件

1. ActuatorFilter

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Base64;
import java.util.Enumeration;

public class ActuatorFilter implements Filter {

    public static final Logger logger = LoggerFactory.getLogger(ActuatorFilter.class);

    public static final String ACTUATOR_SESSION = "ActuatorBasicAuthSession";

    private String userName;

    private String password;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        Enumeration<String> enumeration = filterConfig.getInitParameterNames();
        if (enumeration.hasMoreElements()) {
            this.userName = filterConfig.getInitParameter("actuatorUserName");
            this.password = filterConfig.getInitParameter("actuatorPassword");
        }
        logger.info("ActuatorFilter init success");
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        String path = request.getRequestURI();
        //可以把所有暴露出来的端点路径放在一个集合里面进行判断
        if (path.startsWith("/actuator")) {
            Object actuatorSessionValue = request.getSession().getAttribute(ACTUATOR_SESSION);
            if (actuatorSessionValue == null || !userName.equals(actuatorSessionValue)) {
                String auth = request.getHeader("Authorization");
                if (auth != null && !"".equals(auth)) {
                    //解析认证参数
                    String userAndPass = this.decodeBase64(auth.substring(6));
                    String[] upArr = userAndPass.split(":");
                    if (upArr.length != 2) {
                        this.writeForbiddenCode(response);
                        return;
                    }
                    String iptUser = upArr[0];
                    String iptPass = upArr[1];
                    if (iptUser.equals(this.userName) && iptPass.equals(this.password)) {
                        request.getSession().setAttribute(ACTUATOR_SESSION, this.userName);
                        filterChain.doFilter(request, response);
                        return;
                    }
                    this.writeForbiddenCode(response);
                    return;
                } else {
                    this.writeForbiddenCode(response);
                    return;
                }
            }
        }
        filterChain.doFilter(request, response);
    }

    /**
     * 未认证时返回401认证页面
     *
     * @param httpServletResponse
     * @throws IOException
     */
    private void writeForbiddenCode(HttpServletResponse httpServletResponse) throws IOException {
        httpServletResponse.setStatus(401);
        httpServletResponse.setHeader("WWW-Authenticate", "Basic realm=\"input Actuator Basic userName & password \"");
        httpServletResponse.getWriter().write("没有权限访问当前资源");
    }

    private String decodeBase64(String source) {
        String decodeStr = null;
        if (source != null) {
            try {
                byte[] bytes = Base64.getDecoder().decode(source);
                decodeStr = new String(bytes);
            } catch (Exception var4) {
                this.logger.error(var4.getMessage(), var4);
            }
        }

        return decodeStr;
    }
}

2. WebMvcConfig

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    @Bean
    public FilterRegistrationBean actuatorFilter () {
        FilterRegistrationBean registrationBean = new FilterRegistrationBean();
        registrationBean.setFilter(new ActuatorFilter());
        registrationBean.setName("actuator");
        registrationBean.addUrlPatterns("/*");
        registrationBean.setOrder(Integer.MAX_VALUE);

        //用户名密码可以配置在配置文件中或者配置中心
        registrationBean.addInitParameter("actuatorUserName", "admin");
        registrationBean.addInitParameter("actuatorPassword", "123456");
        return  registrationBean;
    }
}

配置文件增加

management:
  endpoints:
    web:
      exposure:
        include: "*"
  endpoint:
    health:
      show-details: always
  1. never:不展示详细信息,up或者down的状态,默认配置
  2. when-authorized:详细信息将会展示给通过认证的用户。授权的角色可以通过management.endpoint.health.roles配置
  3. always:对所有用户暴露详细信息

建议用方法3增加security的认证

玛卡巴卡的博客
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解关于springboot-actuator监控的401无权限访问
08-29
本篇文章主要介绍了详解关于springboot-actuator监控的401无权限访问,非常具有实用价值,有兴趣的可以了解一下
Spring Boot后端Actuator授权访问漏洞解决
qq_46119575的博客
01-05 1万+
Spring Boot后端Actuator授权访问漏洞解决
SpringBoot应用监控Actuator使用隐患及解决方案
最新发布
weixin_44554055的博客
07-04 855
SpringBootActuator 模块提供了生产级别的功能,比如健康检查,审计,指标收集,HTTP 跟踪等,帮助我们监控和管理Spring Boot 应用。这个模块是一个采集应用内部信息暴露给外部的模块,如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信息以及Web请求的详细信息等(上述的功能都可以通过HTTP 和 JMX 访问)。如果使用不当或者一些不经意的疏忽,可能造成信息泄露等严重的安全隐患。(PS:楼主这里就因为某同事的疏忽上线后被检测到授权访问然后勒令整改的)
Spring Boot Actuator授权访问排查和整改指南
weixin_44106034的博客
10-19 2万+
1、信息泄露:授权访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对授权用户开放。2、系统破坏:攻击者可以通过Actuator端点的授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
记一次网关项目Actuator授权访问漏洞修复方案
DearLC的博客
07-13 7254
springboot actuator授权访问漏洞修复方案
SpringBoot Actuator授权访问漏洞修复
JHIII的博客
08-25 2万+
目前SpringBoot得框架,越来越广泛,大多数中小型企业,在开发新项目得时候。后端语言使用java得情况下,首选都会使用到SpringBoot。在很多得一些开源得框架中,例如: ruoyi若以,这些。不知道是出于什么原因?我们都会在这些框架中得pom文件中找到的依赖。嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件中;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。例如下面:对于这些漏洞,我们开始修复喽!!!
Spring Boot Actuator授权访问漏洞
qq_35456400的博客
08-10 1万+
Spring Boot Actuator 端点的授权访问漏洞是一个安全性问题,可能会导致授权的用户访问敏感的应用程序信息。可是并不用太过担心,Spring Boot Actuator 默认暴漏的信息有限,一般情况下并不会暴露敏感数据。注册中心有些功能集成了actuator,如果同时使用eureka和actuator,可以在eureka中点击注册链接查看健康状态信息(/actuator/info)。
Spring Boot Actuator授权访问漏洞利用
热门推荐
Bird&Bird
08-24 5万+
目录一、前言二、端点描述三、漏洞发现四、漏洞利用五、安全措施六、安全建议 一、前言 ActuatorSpring Boot 提供的服务监控和管理中间件。当 Spring Boot 应用程序运行时,它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置,就有可能导致一些系统信息泄露、XXE、甚至是 RCE 等安全问题。 二、端点描述 官方文档对每个端点的功能进行了描述。 路径 描述 /autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过 /be
SpringBoot 监控管理模块actuator没有权限的问题解决方法
08-28
然而,在使用 SpringBoot 监控管理模块actuator 时,经常会遇到权限问题,例如访问敏感信息时报错,如“Unauthorized”等。 解决方法有两种:一是关闭权限,二是添加权限。 第一种方法是关闭权限,可以在 ...
一个使用springboot actuator监控应用的实战项目例子
04-16
一个使用springboot actuator监控应用的实战项目例子,对于想使用actuator来监控应用的初级程序员来说是一个不错的学习例子! 关注我!给我留言或者私信发邮箱,看到的话可以给你们发资源哦~
使用SpringBoot Actuator监控应用示例
08-27
SpringBoot ActuatorSpring Boot框架中的一个核心组件,专门用于应用程序的监控和管理。它提供了一组丰富的端点(endpoints),允许开发者深入了解应用程序的运行状态、性能指标、配置信息等,从而帮助优化和维护...
Springboot actuator应用后台监控实现
08-19
Springboot actuator应用后台监控实现 通过 Springboot actuator,可以实现后台应用监控,主要介绍了 Springboot actuator 应用后台监控实现,通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习...
spring boot actuator 授权访问(env泄露redis密码)
lyink001的博客
12-16 8992
actuator 授权访问获取redis密码
如何解决 Spring Boot Actuator授权访问漏洞
09-22 3803
的作用是提供了一组管理和监控端点,允许你查看应用程序的运行时信息,例如健康状态、应用程序信息、性能指标等。这些端点对于开发、和运维团队来说都非常有用,可以帮助快速诊断问题、监控应用程序的性能,并采取必要的措施来维护和管理应用程序。
SpringBoot Actuator授权访问漏洞的解决方法
MichaelZ的博客
05-08 3227
Spring Boot Actuator 是一个用于监控和管理 Spring Boot 应用程序的功能模块。它提供了一系列生产就绪的功能,帮助你了解应用程序的运行状况,以及在运行时对应用程序进行调整。Actuator 使用了 Spring MVC 来暴露各种 HTTP 或 JMX 端点,通过这些端点你可以获取到应用程序的运行信息,如健康状态、指标、线程 dump、环境变量等。健康检查:可以检查应用程序的运行状况,包括数据库连接、磁盘空间、服务状态等。指标收集。
web渗透测试漏洞复现:Springboot Actuator授权漏洞复现
HACKONE的博客
03-28 1192
pring Boot ActuatorSpring Boot 框架中非常重要的一个模块,设计用于增强应用程序在生产环境中的可观察性和管理能力。Actuator 提供了一系列内建的端点(Endpoints),这些端点可通过 HTTP 或 JMX 接口暴露应用的健康状况、度量指标、审计信息、环境属性、 Beans 列表等多种内部状态信息。
针对springboot actuator授权访问漏洞的解决办法
听闻如故的博客
08-02 4576
解决springboot actuator授权访问漏洞
SpringBoot Actuator授权访问
07-27
对于Spring Boot Actuator授权访问问题,您可以尝试以下解决方法: 1. 检查Spring Boot Actuator的配置:确保您的应用程序的配置文件中没有开启Actuator的安全认证。默认情况下,Actuator的安全认证是关闭的,如果您启用了安全认证,可以通过设置`management.security.enabled=false`来关闭它。 2. 检查访问权限:如果您已经关闭了安全认证但仍然无法访问Actuator端点,可能是由于其他安全配置或网络环境导致的。您可以检查您的应用程序是否有其他安全配置,例如Spring Security,以确保没有禁止对Actuator端点的访问。 3. 检查网络环境:如果您的应用程序运行在某种网络环境中(例如代理服务器或防火墙),请确保Actuator端点的请求能够通过并且没有被阻止。您可以尝试直接在应用程序所在的主机上进行访问,以验证是否存在网络限制。 4. 检查错误日志:如果以上方法都无法解决问题,您可以检查应用程序的日志文件,查看是否有任何与Actuator相关的错误或警告信息。这些日志可能会提供更多有关问题的线索。 如果您仍然无法解决问题,建议提供更多详细信息,例如错误消息、应用程序配置和网络环境,以便我们能够更好地帮助您解决问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值