首页 > 其他分享 >Spring Boot框架actuator配置不当漏洞

Spring Boot框架actuator配置不当漏洞

时间:2024-01-25 20:23:44浏览次数:18  
标签:web management Spring Boot 漏洞 端点 actuator

漏洞描述

【安全预警】

Apache Dubbo 远程代码执行漏洞、Spring Boot配置不当及微软1月补丁漏洞部分网站数据库存在Spring Boot 配置不当漏洞,利用网站数据库Spring Boot 漏洞可读取 Redis 数据库用户名 和密码。连接数据库可查询掌握运维综合服务平台管理员口令哈希。

漏洞等级

影响范围

所有版本

排查方法

确定是SpringBoot框架后,枚举站点的一级、二级甚至三级目录,查看目录下面是否存在actuator执行端点路径

在application.properties配置文件中查看actuator的访问路径

如 设置management.context-path=/monitor

则访问访问ip:port/monitor/actuator

默认配置下 management.context-path=/

此时访问ip:port/actuator 暴露配置信息

根据actuator信息知道可以访问/actuator/health 和 /actuator/info

Actuator模块下路径功能

修复措施

方案一

可以在application.properties配置文件修改配置

开启业务需求上必须的端口(建议全部禁用

通过配置management.endpoint.<端点名称>.enabled为true/false来开启/禁用端口``

通过配置management.endpoint.web.exposure.include=xxx 来暴露某个web端点

通过配置management.endpoint.web.exposure.exclude=xxx 来隐藏某个web端点

暴露所有端点

management.endpoints.web.exposure.include=*

隐藏(不暴露)端点info

management.endpoints.web.exposure.exclude=info

隐藏(不暴露)端点env beans

management.endpoints.web.exposure.exclude=env,beans

方案二

引入安全依赖,增加验证环节

引入spring-boot-starter-security依赖

在application.properties中指定actuator的端口以及开启security功能

标签:web,management,Spring,Boot,漏洞,端点,actuator
From: https://www.cnblogs.com/shamo89/p/17988088

相关文章

  • SpringBoot 依赖管理机制
     依赖管理机制思考:1、为什么导入starter-web所有相关依赖都导入进来?开发什么场景,导入什么场景启动器。maven依赖传递原则。     A依赖B B依赖C:   导入A就拥有B和C导入场景启动器。场景启动器自动把这个场景的所有核心依赖全部导入进来2、为什么版......
  • 7.spring mongo
    配置MongoRepository可以根据实体中的字段,自己进行组合查询,创建一个继承MongoRepository的接口,在该接口中定义方法示例实体类importlombok.Getter;importlombok.Setter;importorg.bson.types.ObjectId;importorg.springframework.data.annotation.Id;importorg.......
  • spring boot lombok插件
    Lombok集成首先我们需要在IDEA中安装好Lombok插件,如果你使用的是最新版IDEA2020.3,则Lombok插件已经内置,无需安装。 之后在项目的pom.xml文件中添加Lombok依赖,SpringBoot2.1.x版本后无需指定Lombok版本,SpringBoot在spring-boot-dependencies中已经内置。<!--lombok依赖--><......
  • idea maven sprint boot打包常见问题
    ideaSpringBoot多模块打包(Unabletofindmainclass和父子依赖打包的错误) 1、子模块打包没有main方法就不要用spring-boot-maven-plugin来build了,因为它是需要main方法才能打包的<!--使用springboot的maven插件会报找不到主类错误--><build><plugins>......
  • Spring的事务使用教程
    什么是事务?事务(Transaction)是数据库操作最基本单元,逻辑上一组操作,要么都成功,要么都失败,如果操作之间有一个失败所有操作都失败。事务四个特性(ACID)原子性一组操作要么都成功,要么都失败。一致性一组数据从事务1合法状态转为事务2的另一种合法状态,就是一致。隔离性事务1......
  • SpringBoot:Springboot整合Mqtt并处理问题
    搭建mqtt服务Docker搭建MQTT服务:https://www.cnblogs.com/nhdlb/p/17960641项目结构这是我的项目结构,主要有两个模块base-modules(业务模块)、base-utils(工具模块)组成,其中base-mqtt服务为工具模块,用于提供给其他业务模块引用依赖的。base-mqtt模块pom.xml这里我的Sprin......
  • 中国移动CMCC rax3000m免拆机刷OpenWRT uboot 20231027 NAND emmc MT7981
    1、100大洋购买的CMCCARX3000,不刷系统的时候也挺好用,就是无法满足特殊需求2、输入路由地址、192.168.10.1,进入路由管理界面,账号和密码,设备背面默认3、在高级设置->管理->配置管理->导出配置文件、得到:cfg_export_config_file.conf文件 4、在linux系统下,Ubuntu下进行文件配......
  • springBoot自定义参数注解
    springBoot自定义参数注解前置条件:新建一个springboot项目1.新建一个标记注解@Authimportjava.lang.annotation.ElementType;importjava.lang.annotation.Retention;importjava.lang.annotation.RetentionPolicy;importjava.lang.annotation.Target;/***@authorwa......
  • 解决跨域问题的8种方法,含网关、Nginx和SpringBoot~
    跨域问题是浏览器为了保护用户的信息安全,实施了同源策略(Same-OriginPolicy),即只允许页面请求同源(相同协议、域名和端口)的资源,当JavaScript发起的请求跨越了同源策略,即请求的目标与当前页面的域名、端口、协议不一致时,浏览器会阻止请求的发送或接收。解决跨域问题方案跨域问题......
  • jeecg-boot 同步数据库失败,Unable to perform unmarshalling at line number 5 and co
    同步数据库失败,Unabletoperformunmarshallingatlinenumber5andcolumn6.Message:cvc-complex-type.2.4.a:Invalidcontentwasfoundstartingwithelement'{"http://www.hibernate.org/xsd/orm/hbm":property}'.Oneof'{"http://www......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99