Spring Boot Actuator 未授权访问漏洞

合集 - 漏扫合集(7)
1.Nginx:CVE-2021-23017;CVE-2022-417422.NGINX版本信息泄露3.Swagger API 未授权访问漏洞4.Nginx 平滑升级
5.Spring Boot Actuator 未授权访问漏洞
6.JQuery-XSS漏洞(CVE-2020-11022/CVE-2020-11023)7.缓慢的http拒绝服务攻击
收起

Spring Boot Actuator 未授权访问漏洞

详细描述

Actuator是Spring Boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。

修复建议

1.配置认证
在项目的pom.xml文件下引入spring-boot-starter-security依赖

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>

然后在application.properties中开启security功能,配置访问账号密码,重启应用即可弹出。

management.security.enabled=true
security.user.name=admin
security.user.password=admin

2.禁用接口
禁用全部接口:

endpoints.enabled = false

禁用部分接口,如env:

endpoints.env.enabled = false

management.endpoints.web.exposure.exclude=env,heapdump,threaddump,mappings

# 完全禁用actuator
management.server.port=-1
posted @   二月无雨  阅读(15178)  评论(0编辑  收藏  举报
(评论功能已被禁用)
相关博文:
· Swagger API 未授权访问漏洞
· 【Spring】Spring开启事务的两种方式
· Spring Boot 关闭 Actuator ,满足安全工具扫描
· SpringBoot Actuator未授权访问漏洞修复
· Spring Boot框架actuator配置不当漏洞
阅读排行:
· DeepSeek 开源周回顾「GitHub 热点速览」
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· AI与.NET技术实操系列(二):开始使用ML.NET
· 单线程的Redis速度为什么快?
点击右上角即可分享
微信分享提示
AI FOR CODE 大赛