Spring Boot Actuator 未授权访问漏洞

Spring Boot Actuator 未授权访问漏洞

详细描述

Actuator是Spring Boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。

修复建议

1.配置认证
在项目的pom.xml文件下引入spring-boot-starter-security依赖

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>

然后在application.properties中开启security功能,配置访问账号密码,重启应用即可弹出。

management.security.enabled=true
security.user.name=admin
security.user.password=admin

2.禁用接口
禁用全部接口:

endpoints.enabled = false

禁用部分接口,如env:

endpoints.env.enabled = false
management.endpoints.web.exposure.exclude=env,heapdump,threaddump,mappings
# 完全禁用actuator
management.server.port=-1
posted @ 2023-06-03 00:00  二月无雨  阅读(12918)  评论(0编辑  收藏  举报