SpringBoot Actuator未授权访问漏洞修复

深碍√TFBOYSˉ_ 2023-10-02 23:43 0阅读 0赞

## 1.写在前面 ##

目前SpringBoot得框架，越来越广泛，大多数中小型企业，在开发新项目得时候。后端语言使用java得情况下，首选都会使用到SpringBoot。

在很多得一些开源得框架中，例如: ruoyi若以，这些。

不知道是出于什么原因？我们都会在这些框架中得pom文件中找到`SpringBoot Actuator`的依赖。

嘿，这`Actuator`估计很多人都没有真真实实使用过，但是就会出现在pom文件中；这样导致，在做一些安全漏洞测试的时候，会出现漏洞问题。

例如下面：

![75387995eed0fd1a791f59525fc1438a.png][]

对于这些漏洞，我们开始修复喽！！！

## 2.问题描述 ##

`Actuator`是Springboot提供的用来对应用系统进行自省和监控的功能模块，借助于Actuator开发者可以很方便地对应用系统某些监控指标进行查看、统计等。

Actuator 的核心是端点 Endpoint，它用来监视应用程序及交互，spring-boot-actuator 中已经内置了非常多的Endpoint（health、info、beans、metrics、httptrace、shutdown等等），同时也允许我们自己扩展自己的Endpoints。每个 Endpoint 都可以启用和禁用。要远程访问 Endpoint，还必须通过 JMX 或 HTTP 进行暴露，大部分应用选择HTTP。

好了，`Actuator`看起来还是挺好的，可以用来监控。不过大部分企业，估计都没咋用过，也就享受不到`Actuator`的好处了。

`Actuator`在带来方便的同时，如果没有管理好，会导致一些敏感的信息泄露；可能会导致我们的服务器，被暴露到外网，服务器可能会沦陷。那我们来看一下，会出现什么安全的问题？

## 3.安全问题 ##

例如，我们可以访问：

`http://localhost:7200/actuator/env`

![086378abe46fa3e53ffc00feda8ca803.png][]

看到上面的信息了吗？哇，我们居然能看到数据库连接地址，账号密码等信息。

这些地址如果不加以控制，对于一些有技术基础的人员来说，这不得是一个很严重的漏洞？估计是t0级别的漏洞了。

对于这些，我们要如何进行控制呢？

## 4.禁止方法 ##

在 `llsydn-dev.properties` 增加配置如下

management.endpoints.web.exposure.exclude=env,heapdump,threaddump,mappings

这样 env 就被禁止访问了。

然后我们再来访问一下比如：

![5c786cf52508df154f06ce7a0f4e676b.png][]

> 好了，可以看到访问就出现404了，表示已经禁了。

## 5.完全禁用Actuator ##

对于上面的修改，其实已经可以实现禁止了env的方法，也就基本上都能控制到相应的接口信息，基本上也能做到了安全。

但是在做等保安全漏洞扫描的时候，还是会扫出来响应的漏洞，那其实，还是没有解决掉这个漏洞。那我们能不能完全禁止`Actuator`呢？

答案，肯定是可以的！！！

例如下面这个配置：

# 完全禁用actuator
    management.server.port=-1

这样配，等保做安全漏洞扫描，就不会扫描出该漏洞了！！！

嘿，再也不用担心`Actuator`漏洞问题！！！

[75387995eed0fd1a791f59525fc1438a.png]: https://img-blog.csdnimg.cn/img_convert/75387995eed0fd1a791f59525fc1438a.png
[086378abe46fa3e53ffc00feda8ca803.png]: https://img-blog.csdnimg.cn/img_convert/086378abe46fa3e53ffc00feda8ca803.png
[5c786cf52508df154f06ce7a0f4e676b.png]: https://img-blog.csdnimg.cn/img_convert/5c786cf52508df154f06ce7a0f4e676b.png

发表评论取消回复

表情：

评论列表（有 0 条评论，0人围观）

还没有评论，来说两句吧...

相关阅读

相关 Spring Boot后端： Actuator未授权访问漏洞解决

Spring Boot后端： Actuator未授权访问漏洞解决前言一、Actuator是什么？二、Actuator未授权访问漏洞是什么？

一时失言乱红尘/ 2024年03月30日 15:04/ 0 赞/ 97 阅读

相关【未授权漏洞】PowerJob未授权访问漏洞(CVE-2023-29922)

0x01 漏洞描述 PowerJob是一个开源分布式计算和作业调度框架，它允许开发人员在自己的应用程序中轻松调度任务。PowerJob V`4.3.1`版本存在安全漏洞，

╰半橙微兮°/ 2024年03月16日 16:40/ 0 赞/ 98 阅读

相关如何解决 Spring Boot Actuator 的未授权访问漏洞

[Spring Boot Actuator][] 的作用是提供了一组管理和监控端点，允许你查看应用程序的运行时信息，例如健康状态、应用程序信息、性能指标等。这些端点对于开发、[

女爷i/ 2024年03月02日 10:01/ 0 赞/ 119 阅读

相关 Spring Boot Actuator未授权访问漏洞利用

目录一、前言二、端点描述三、漏洞发现四、漏洞利用五、安全措施六、安全建议

痛定思痛。/ 2023年10月06日 19:03/ 0 赞/ 42 阅读

相关 TiDB丨Etcd API 未授权访问漏洞的修复

文章目录一、前言二、集群环境三、漏洞整改建议方案一方案二四、方案实施五、可能存在的风险六、总

谁借莪１个温暖的怀抱￠/ 2023年10月03日 22:36/ 0 赞/ 31 阅读

相关 springboot未授权漏洞(漏洞复现Springboot未授权访问及修复)

1、springboot未授权漏洞问题描述 Actuator 是Springboot提供的用来对应用系统进行自省和监控的功能模块，借助于Actuator开发者可以很方便地

港控/mmm°/ 2023年09月25日 23:55/ 0 赞/ 35 阅读

相关 Redis未授权访问漏洞介绍及修复方案

Redis 漏洞介绍 1. 什么是Redis未授权访问漏洞 Redis 暴露在公网（即绑定在0.0.0.0:6379，目标IP公网可访问），并且没有开启相关认证和添加相

悠悠/ 2023年07月18日 09:36/ 0 赞/ 43 阅读

相关 linux rsync 漏洞修复,rsync未授权访问漏洞利用

漏洞描述：rsync是Linux系统下的数据镜像备份工具，使用快速增量备份工具Remote Sync可以远程同步，支持本地复制，或者与其他ssh，rsync主机同步。漏洞利

ゞ浴缸里的玫瑰/ 2023年01月22日 08:56/ 0 赞/ 56 阅读

相关 Redis 未授权访问漏洞【原理扫描】修复方法

漏洞类型主机漏洞漏洞名称/检查项 Redis 配置不当可直接导致服务器被控制【原理扫描】漏洞名称/检查项 Redis 未授权访问漏洞【原理扫描】加固建议

本是古典何须时尚/ 2022年05月30日 12:08/ 0 赞/ 1294 阅读

相关 mongodb未授权访问漏洞

catalogue 1. mongodb安装 2. 未授权访问漏洞 3. 漏洞修复及加固 4. 自动化检测点 1. mongodb安装

向右看齐/ 2022年03月30日 07:58/ 0 赞/ 606 阅读