应用被安全工具,扫描出漏洞信息
【MSS】SpringBoot Actuator敏感接口未授权访问漏洞(Actuator)事件发现通告:
发现时间:2023-11-25 19:47:17
攻击时间:2023-11-25 18:56:44
事件/告警类型:非授权访问/权限绕过
告警设备:APT
攻击IP:xxx
被攻击IP/资产信息:xxx
告警描述:SpringBoot Actuator敏感接口未授权访问漏洞(Actuator) http://xxx/actuator/
优先级:三级(一般)
处置建议:关闭或限制Actuator端口的访问权限,或升级Spring Boot版本修复漏洞。
解决方案
方法1. 修改配置
management:
server:
port: -1 # 修改端口,跳过安全漏洞扫描
endpoints:
enabled-by-default: false #关闭监控
web:
exposure:
include: '*'
方法2. 添加访问权限
通过配置 Spring Security 来限制对 Actuator 端点的访问,只为了这一个需求,添加 Spring Security 感觉有些重
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/actuator/**").hasRole("ADMIN") // 设置只有具有 ADMIN 角色的用户可以访问 Actuator 端点
.anyRequest().permitAll()
.and()
.httpBasic(); // 启用基本认证
}
}