springboot未授权访问&CVE-2014-3566

springboot actuator未授权访问

Spring Boot 1.x版本端点在根URL下注册

/autoconfig					提供了一份自动配置报告，记录哪些自动配置条件通过了，哪些没通过
/beans					    描述应用程序上下文里全部的Bean，以及它们的关系
/env					    获取全部环境属性
/configprops				描述配置属性(包含默认值)如何注入Bean
/dump						获取线程活动的快照
/health						报告应用程序的健康指标，这些值由HealthIndicator的实现类提供
/info						获取应用程序的定制信息，这些信息由info打头的属性提供
/mappings					描述全部的URI路径，以及它们和控制器(包含Actuator端点)的映射关系
/metrics					报告各种应用程序度量信息，比如内存用量和HTTP请求计数
/shutdown					关闭应用程序，要求endpoints.shutdown.enabled设置为true
/trace						提供基本的HTTP请求跟踪信息(时间戳、HTTP头等)

Spring Boot 2.x版本端点移动到/actuator/路径

在/heapdump路径下存在内存泄漏，其中拥有大量后台密码
在/health目录下并未发现git项目地址
在/env配置下存在数据库类型账号密码

21.SSLv3 存在严重设计缺陷漏洞 (CVE-2014-3566)

sslscan -tlsall 127.0.0.1