Springboot Actuator未授权访问漏洞

于 2024-08-05 11:16:54 发布
阅读量70 收藏
点赞数 2
分类专栏: 未授权访问漏洞 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63988455/article/details/140921999
版权

Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息,从而导致信息泄露甚至服务器被接管的事件发生。

Actuator

Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块。其提供的执行器端点分为两类:原生端点和用户自定义扩展端点,原生端点主要有:

/dump - 显示线程转储(包括堆栈跟踪)
/autoconfig - 显示自动配置报告
/configprops - 显示配置属性
/trace - 显示最后几条HTTP消息(可能包含会话标识符)
/logfile - 输出日志文件的内容
/shutdown - 关闭应用程序
/info - 显示应用信息
/metrics - 显示当前应用的’指标’信息
/health - 显示应用程序的健康指标
/beans - 显示Spring Beans的完整列表
/mappings - 显示所有MVC控制器映射
/env - 提供对配置环境的访问
/restart - 重新启动应用程序

漏洞复现

使用以下Fofa语句搜索资产

#Fofa语法
icon_hash="116323821"

当 web 应用程序出现 4xx、5xx 错误时显示类似以下页面就能确定当前 web 应用是使用了 springboot 框架

拼接以下路径查看泄露的数据

漏洞修复

  1. 禁用/env接口。
  2. 升级到Springboot actuator 2.0。
  3. 禁止对外开放。
starhei.zxy
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透测试漏洞复现:Springboot Actuator授权漏洞复现
HACKONE的博客
03-28 1043
pring Boot ActuatorSpring Boot 框架中非常重要的一个模块,设计用于增强应用程序在生产环境中的可观察性和管理能力。Actuator 提供了一系列内建的端点(Endpoints),这些端点可通过 HTTP 或 JMX 接口暴露应用的健康状况、度量指标、审计信息、环境属性、 Beans 列表等多种内部状态信息。
springboot Actuator授权访问漏洞
qq_45382625的博客
08-29 652
Spring Boot 2.X 中,Actuator 默认开放 health 和 info 两个端点,如果需要配置开放所有端点(配置值为 "*" 代表所有)
SpringBoot Actuator授权访问漏洞修复
热门推荐
JHIII的博客
08-25 2万+
目前SpringBoot得框架,越来越广泛,大多数中小型企业,在开发新项目得时候。后端语言使用java得情况下,首选都会使用到SpringBoot。在很多得一些开源得框架中,例如: ruoyi若以,这些。不知道是出于什么原因?我们都会在这些框架中得pom文件中找到的依赖。嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件中;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。例如下面:对于这些漏洞,我们开始修复喽!!!
Springboot Actuator授权访问漏洞复现
crowsec
07-31 1万+
SpringBootActuator模块提供了生产级别的功能,比如健康检查,审计,指标收集,HTTP跟踪等,帮助监控和管理SpringBoot应用。这个模块是一个采集应用内部信息暴露给外部的模块,上述的功能都可以通过HTTP和JMX访问。https)ActuatorSpringBoot提供的应用系统监控的开源框架。https)httpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttps。...
SpringBoot Actuator授权访问漏洞的解决方法
MichaelZ的博客
05-08 3135
Spring Boot Actuator 是一个用于监控和管理 Spring Boot 应用程序的功能模块。它提供了一系列生产就绪的功能,帮助你了解应用程序的运行状况,以及在运行时对应用程序进行调整。Actuator 使用了 Spring MVC 来暴露各种 HTTP 或 JMX 端点,通过这些端点你可以获取到应用程序的运行信息,如健康状态、指标、线程 dump、环境变量等。健康检查:可以检查应用程序的运行状况,包括数据库连接、磁盘空间、服务状态等。指标收集。
SpringBoot Actuator授权访问漏洞
m0_37354578的博客
06-30 1521
SpringBoot项目修改配置文件application.properties,增加如下配置 management.endpoints.enabled-by-default=false
针对springboot actuator授权访问漏洞的解决办法
听闻如故的博客
08-02 4516
解决springboot actuator授权访问漏洞
【Spirngcloudalibaba】gateway下SpringBoot Actuator授权访问漏洞修复
m0_48771326的博客
06-07 2178
避免端点问题return 403;
浅析SpringBoot框架常见授权访问漏洞
道阻且长,行则将至。
02-23 7864
本文总结学习了 Swagger-UI、SpringBoot Actuator、Druid、Webpack 组件的授权访问漏洞基本原理与漏洞探测方法,在介绍了几款自动化扫描工具的同时,也简要分析了 CVE-2022-22947 Spring Cloud Gateway RCE 漏洞
使用SpringBoot Actuator监控应用示例
08-27
SpringBoot ActuatorSpring Boot框架中的一个核心组件,专门用于应用程序的监控和管理。它提供了一组丰富的端点(endpoints),允许开发者深入了解应用程序的运行状态、性能指标、配置信息等,从而帮助优化和维护...
一个使用springboot actuator监控应用的实战项目例子
04-16
一个使用springboot actuator监控应用的实战项目例子,对于想使用actuator来监控应用的初级程序员来说是一个不错的学习例子! 关注我!给我留言或者私信发邮箱,看到的话可以给你们发资源哦~
Springboot actuator应用后台监控实现
08-19
Springboot actuator应用后台监控实现 通过 Springboot actuator,可以实现后台应用监控,主要介绍了 Springboot actuator 应用后台监控实现,通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习...
详解关于springboot-actuator监控的401无权限访问
08-29
5. health:展示应用的健康信息(当使用一个认证连接访问时显示一个简单的'status',使用认证连接访问则显示全部信息详情)。 6. info:显示任意的应用信息。 7. metrics:展示当前应用的'指标'信息。 8. mappings...
Springboot actuator生产就绪功能实现解析
08-19
Spring Boot ActuatorSpring Boot框架的一个重要组件,它为开发者提供了丰富的工具,以实现应用程序的生产就绪性。Actuator提供了健康检查、审计、指标收集、日志管理、配置审计等关键功能,使得运维人员能够有效...
分享一个基于Spring Boot的在线智慧考公学习管理系统(源码、调试、LW、开题、PPT)
最新发布
m0_72599287的博客
08-04 448
随着公务员考试竞争的日益激烈,传统的备考模式已经难以满足考生多样化、个性化的学习需求。考生需要更加灵活、系统化的备考方式,而教育技术的迅速发展为这一需求提供了新的解决方案。基于SpringBoot的在线智慧考公系统,结合Vue、MySQL和Echarts等先进技术,旨在构建一个集学习资源、考试测评和数据分析于一体的智慧平台。通过系统,管理员可以高效管理用户、教师、岗位类型和学习资源,确保平台内容的准确性和丰富性;考生可以通过注册和登录访问个性化的学习资源、进行模拟测试,并查看详细的成绩分析,提升备考效率;教
Spring Boot 整合 Dubbo3 + Nacos 2.4.0
小天一直在路上
08-01 449
Nacos 作为 Dubbo 生态系统中重要的注册中心实现,本文将会介绍如何进行 Dubbo 对接 Nacos 注册中心的工作。
Javaspring boot validation 自定义注解使用
c8899y的博客
08-04 505
Constraint(validatedBy = {IsSystemYesNoVaildation.class})//绑定 在这里会报错 你需要去实现。String message() default "数据字典:【系统是否】-参数不合法";ConstraintValidator {//实现。@Target({ElementType.FIELD})//需要写注解的三三个要素。//入参 类型。//把video传进来 自定义注解就写好了。
分享一个基于人脸识别的小区物业管理系统Spring Boot(源码、调试、LW、开题、PPT)
m0_72599287的博客
08-04 453
随着城市化进程的加快,小区物业管理面临着日益复杂的管理需求和安全隐患。传统的物业管理模式往往依赖人工操作,效率低下且容易出错,无法满足居民对安全和便捷服务的期望。人脸识别技术的迅速发展为物业管理提供了新的解决方案,能够实现快速、准确的出入管理,提高小区的安全性。结合现代化的信息管理系统,物业管理者可以更高效地处理用户的需求,包括房屋信息管理、维修申请和费用管理等,从而提升服务质量。基于Spring Boot、Vue和MySQL技术开发的基于人脸识别的小区物业管理系统,旨在整合各项管理功能,构建一个智能化、数
SpringBoot Actuator授权访问漏洞 http://25.90.180.34/actuator/env
05-19
SpringBoot ActuatorSpring Boot提供的一个监控和管理Spring Boot应用程序的框架,包括健康检查、审计、统计和HTTP接口等功能。而授权访问漏洞则是指攻击者可以通过某种方式授权访问到应用程序中的敏感信息或者功能。 在你提供的URL中,可以看到该漏洞存在于目标主机的Spring Boot应用程序中。攻击者可以通过向该URL发送一个GET请求,获取应用程序的环境配置信息,包括应用程序使用的所有配置属性、系统环境变量、JVM属性等等。这些信息可能包含敏感数据,例如数据库密码、加密密钥等等,从而导致安全风险。 为了解决这个问题,你可以采取以下措施: 1. 更新Spring Boot Actuator版本:Spring Boot官方已经发布了多个版本的Actuator,其中许多版本已经修复了该漏洞。你可以升级到最新版本的Actuator来避免该漏洞。 2. 配置Actuator的安全:Spring Boot Actuator提供了安全配置选项,可以限制对Actuator HTTP端点的访问。你可以使用Spring Security等框架来对Actuator进行安全配置,只允许授权用户访问Actuator端点。 3. 禁用Actuator HTTP端点:如果你不需要使用Actuator提供的HTTP端点,可以禁用它们以避免安全风险。在Spring Boot应用程序的配置文件中,设置management.endpoints.web.exposure.exclude属性,将不需要的端点排除在外。例如:`management.endpoints.web.exposure.exclude=env,health,info`。 综上所述,对于SpringBoot Actuator授权访问漏洞,你应该及时采取相应的措施进行修复和防范。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值