漏洞描述
【安全预警】
Apache Dubbo 远程代码执行漏洞、Spring Boot配置不当及微软1月补丁漏洞部分网站数据库存在Spring Boot 配置不当漏洞,利用网站数据库Spring Boot 漏洞可读取 Redis 数据库用户名 和密码。连接数据库可查询掌握运维综合服务平台管理员口令哈希。漏洞等级
高影响范围
所有版本排查方法
确定是SpringBoot框架后,枚举站点的一级、二级甚至三级目录,查看目录下面是否存在actuator执行端点路径
在application.properties配置文件中查看actuator的访问路径
如 设置management.context-path=/monitor
则访问访问ip:port/monitor/actuator
默认配置下 management.context-path=/
此时访问ip:port/actuator 暴露配置信息
根据actuator信息知道可以访问/actuator/health 和 /actuator/info
Actuator模块下路径功能
修复措施
方案一:
可以在application.properties配置文件修改配置
开启业务需求上必须的端口(建议全部禁用)
通过配置management.endpoint.<端点名称>.enabled为true/false来开启/禁用端口``
通过配置management.endpoint.web.exposure.include=xxx 来暴露某个web端点
通过配置management.endpoint.web.exposure.exclude=xxx 来隐藏某个web端点
暴露所有端点
management.endpoints.web.exposure.include=*
隐藏(不暴露)端点info
management.endpoints.web.exposure.exclude=info
隐藏(不暴露)端点env beans
management.endpoints.web.exposure.exclude=env,beans
方案二:
引入安全依赖,增加验证环节
引入spring-boot-starter-security依赖
在application.properties中指定actuator的端口以及开启security功能
标签:web,management,Spring,Boot,漏洞,端点,actuator From: https://www.cnblogs.com/shamo89/p/17988088