actuator防止外部访问漏洞修复

最新推荐文章于 2024-09-04 07:00:00 发布
最新推荐文章于 2024-09-04 07:00:00 发布
阅读量5.5k 收藏 6
点赞数
分类专栏: SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunxing323/article/details/114498506
版权

解决办法适用于2.x springboot版本

注意:actuator默认开启的,默认开启是有漏洞的。

法零:和网站设置不同端口,不映射到外面,并修改路径
法一:禁用所有http接口,将配置改成:management.endpoints.web.exposure.exclude=*
法二:引入spring-boot-starter-security依赖,增加安全认证
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
配置增加

# actuator是否需要安全保证配置
management:
  security:
    enabled: true
  endpoints:
    web:
      exposure:
        include: "*"
# actuator登录认证配置
spring:
  security:
    user:
      name: admin${random.int}
      password: ${random.value}
代码增加 打印认证的用户和密码

@Component
public class MyApplicationRunner implements ApplicationRunner {

    private static final Logger LOGGER = LoggerFactory.getLogger(MyApplicationRunner.class);

    @Autowired
    private SecurityProperties securityProperties;

    @Override
    public void run(ApplicationArguments args) throws Exception {
        LOGGER.info("actuator user name:{}, password:{}", securityProperties.getUser().getName(), securityProperties.getUser().getPassword());
        // todo 存到redis或者其他
    }
}
ActuatorSecurity认证类

import org.springframework.boot.actuate.autoconfigure.security.servlet.EndpointRequest;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class ActuatorSecurity extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.requestMatcher(EndpointRequest.toAnyEndpoint()).authorizeRequests()
            .anyRequest().authenticated().and().httpBasic();
    }

}
启动&测试
http://localhost:8088/actuator/beans

三侠剑
关注
专栏目录
web渗透测试漏洞复现:Springboot Actuator未授权漏洞复现
HACKONE的博客
03-28 1599
pring Boot Actuator 是 Spring Boot 框架中非常重要的一个模块,设计用于增强应用程序在生产环境中的可观察性和管理能力。Actuator 提供了一系列内建的端点(Endpoints),这些端点可通过 HTTP 或 JMX 接口暴露应用的健康状况、度量指标、审计信息、环境属性、 Beans 列表等多种内部状态信息。
二十八种未授权访问漏洞合集(暂时最全)
墨痕诉清风的博客
01-04 4797
目录 0x01 未授权漏洞预览 0x02 Active MQ 未授权访问 0x03 Atlassian Crowd 未授权访问 0x04 CouchDB 未授权访问 0x05 Docker 未授权访问 0x06 Dubbo 未授权访问 0x07 Druid 未授权访问 0x08 Elasticsearch 未授权访问 0x09 FTP 未授权访问 0x10 HadoopYARN 未授权访问 0x11 JBoss 未授权访问 0x12 Jenkins 未授权访问 0x13 Jupyt
Springboot Actuator未授权访问漏洞
weixin_53736204的博客
08-05 337
Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息,从而导致信息泄露甚至服务器被接管的事件发生。Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块。步骤二:拼接以下路径查看泄露的数据.
Spring Boot中如何禁用Actuator端点安全性?
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
09-04 3226
在Spring Boot应用中,Actuator端点默认受到安全保护。但在内部网络环境中,为了简化访问流程,有时需要禁用这种安全性。
Spring Boot Actuator通过Nginx配置限制外部访问
lukialee的专栏
09-01 2952
但要注意,端点返回的数据可能暴露服务器的敏感信息,这些只能从内部网络访问,建议对外屏蔽。如果想屏蔽所有,就为exluce配置*,但自己想使用时也不方便。Spring Boot提供的Actuator,方便开发监控和管理应用程序,但也会暴露一些敏感信息,引发安全问题。其中include是指要包含进来的端点,可以写多个,用逗号隔开。k8s在做健康检查时,经常通过http get的方式调用pod中的服务接口,判断服务是否正常。你可以修改路径,让别人猜不到,但这样始终还是不安全。
关于Spring Boot Actuator漏洞补救方案
qq_39712282的博客
01-30 9372
Springboot之Actuator信息泄露漏洞问题
Spring Boot Actuator未授权访问漏洞和Apache Druid 漏洞修复
songshao の blog
06-24 1万+
Spring Boot Actuator未授权访问漏洞 详细描述 ​ Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。 解决办法 1.配置认证 在项目的pom.xml文件下引入spring-boot-starter-security依赖
Springboot之Actuator的渗透测试和漏洞修复
_江屿_
08-08 1158
Springboot之Actuator的渗透测试和漏洞修复
记一次网关项目Actuator未授权访问漏洞修复方案
DearLC的博客
07-13 7515
springboot actuator未授权访问漏洞修复方案
spring-boot-1.5.4.RELEASE
11-12
1. 安全性增强:此版本修复了多个安全漏洞,确保应用在运行时的安全性,例如升级了依赖库以防止潜在的攻击。 2. 依赖更新:1.5.4.RELEASE更新了许多关键的依赖库版本,如Spring Framework、Thymeleaf等,以确保与...
红队攻防渗透技术实战流程:云安全之云服务安全:OSS对象存储
HACKONE的博客
05-16 314
通俗易懂地解释,“云”就像是一个巨大的、虚拟的、可以随时访问的计算机仓库。这个“仓库”里有无数的服务器、存储设备和其他硬件资源,它们通过网络连接在一起,形成一个庞大的计算网络。这个网络中的资源可以被不同的用户或组织共享,用户只需要通过网络连接,就可以随时随地使用这些资源,而无需自己购买和维护硬件和软件。在线存储:当你把照片或文件上传到像Google Drive、Dropbox或iCloud这样的云服务时,你其实是在使用“云”来存储你的数据。
云平台概要设计文档 -大纲
HaSaKing的博客
05-21 830
云平台项目旨在开发一个高度可配置的医疗设备管理系统,该系统将支持设备监控、患者数据处理、医疗记录访问以及与其他医疗应用的数据交互。该平台的主要目标是提高医疗服务的效率和安全性,同时确保符合医疗行业的严格规范和标准。随着医疗行业对技术的依赖度不断提高,对于可靠和安全的医疗设备管理系统的需求也在增加。云平台的设计旨在满足这些需求,通过提供一个集中的解决方案来管理各种医疗设备和患者数据,从而提高医疗服务的质量和响应速度。
【2021最新版】Spring Boot面试题总结(92道题含答案解析)
热门推荐
程序媛小琬的博客
04-20 1万+
文章目录 最近面试的小伙伴很多,对此我整理了一份Java面试题手册:基础知识、JavaOOP、Java集合/泛型面试题、Java异常面试题、Java中的IO与NIO面试题、Java反射、Java序列化、Java注解、多线程&并发、JVM、Mysql、Redis、Memcached、MongoDB、Spring、SpringBoot、SpringCloud、RabbitMQ、Dubbo、MyBatis、ZooKeeper、数据结构、算法、Elasticsearch、Kafka、微服务、Linux等等
Springboot中禁止访问IP:prot/actuator内容
weixin_46574002的博客
01-22 643
可以看下是否有这个包。
详解SpringBoot应用跨域访问解决方案
字母哥博客
11-11 1826
一、什么是跨域访问 说到跨域访问,必须先解释一个名词:同源策略。所谓同源策略就是在浏览器端出于安全考量,向服务端发起请求必须满足:协议相同、Host(ip)相同、端口相同的条件,否则访问将被禁止,该访问也就被称为跨域访问。虽然跨域访问禁止之后,可以在一定程度上提高了应用的安全性,但也为开发带来了一定的麻烦。比如:我们开发一个前后端分离的易用,页面及js部署在一个主机的nginx服务中,后端接口...
Spring Cloud Gateway_CVE-2022-22947漏洞复现
混子
03-05 4981
目录 漏洞描述 影响版本 漏洞复现 环境搭建 过程 批量url检测 漏洞修复 漏洞描述 Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)发生在Spring Cloud Gateway应用程序的Actuator端点,其在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可通过该漏洞恶意创建允许在远程主机上执行任意远程执行的请求
actuator的管理端点进行ip白名单限制(springBoot添加filter)
weixin_34060299的博客
08-09 1457
在我们的SpringCloud应用中,我们会引入actuator来进行管理和监控我们的应用 常见的有:http://www.cnblogs.com/yangzhilong/p/8378152.html 如果开启  endpoints.restart.enabled=true 则会有pause、restart等端点。 对shutdown、pause、restart等敏感指令我们需要进行一定的保护...
Springboot actuator无法访问问题
u012249274的专栏
05-26 4539
1.springboot默认只打开了/acutator/health和/actuator/info,如果想要通过web访问其他的节点,需要在applicaiton.properties中添加management.endpoints.web.exposure.include=*就可以了 2.一些比较好用的endpoint url function /actuator/health 健康检查 /actuator/beans 查看容器中所有bean /actuator/mappi
springboot简易使用actuator实现远程关闭服务
做对一件事很重要
04-22 2256
第一步 添加actuator依赖 1.pom.xml 如下: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:sch...
SpringBoot Actuator未授权访问漏洞修复
最新发布
09-10
SpringBoot Actuator是一个用于监控和管理SpringBoot应用的组件,它可以为应用提供生产级别的监控和管理功能。在某些版本的SpringBoot Actuator中,存在一个未授权访问漏洞,这个漏洞允许未经授权的用户访问敏感的Actuator端点,可能会泄露应用的内部信息或允许攻击者执行某些破坏性操作。 修复漏洞通常包括以下几个步骤: 1. 更新SpringBoot版本:确保你的SpringBoot应用使用的是最新版本,因为SpringBoot团队会定期修复已知的安全漏洞访问SpringBoot官方文档或仓库,查看最新的版本信息并更新你的项目依赖。 2. 配置访问控制:对于敏感的Actuator端点,你应该配置访问控制,只允许授权用户访问。可以通过修改application.properties或application.yml配置文件来实现。 例如,在application.properties中设置访问控制如下: ``` management.endpoints.web.exposure.include=health,info management.endpoints.web.exposure.exclude=* ``` 上述配置表示只暴露`health`和`info`端点,而其他所有端点默认是不暴露的。 3. 使用安全框架进行访问控制:如果你的应用需要更细粒度的访问控制,你可以利用Spring Security等安全框架,为不同的Actuator端点设置不同的安全策略。例如,只有具有特定角色的用户才能访问特定端点。 4. 定期审核依赖库:定期使用依赖检查工具(如OWASP Dependency-Check)来分析你的项目依赖,确保没有使用到含有已知安全漏洞的库。 5. 关注安全更新:关注SpringBoot官方发布的信息,一旦有新的安全漏洞被发现,及时进行修复和更新。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值