SpringBoot Actuator未授权访问漏洞解决方案
更新时间:2023年09月02日 14:11:55 作者:懂事的观众GPT
工作的时候遇到过提示Spring Boot后端存在Actuator未授权访问漏洞,网上有很多详细的解释文章,在这里做一个简单的总结、介绍和分享,需要的朋友可以参考下
一、Actuator是什么?
Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计。
二、Actuator未授权访问漏洞是什么?
在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息,从而导致信息泄露甚至服务器被接管的事件发生。默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
三、Actuator未授权访问漏洞解决方案
1.禁用所有接口,将配置改成:
endpoints.enabled = false
2.引入
spring-boot-starter-security
依赖:
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>
3.开启security功能,配置访问权限验证,类似配置如下:
management.port=8099 management.security.enabled=true security.user.name=xxxxx security.user.password=xxxxx
总结
到此这篇关于SpringBoot Actuator未授权访问漏洞解决方案的文章就介绍到这了,更多相关SpringBoot Actuator漏洞内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
这篇文章主要介绍了Java实现调用jython执行python文件的方法,结合实例形式分析了Java调用jython执行python文件的常见操作技巧及相关问题解决方法,需要的朋友可以参考下2018-03-03
本篇文章介绍了,Java的正则表达式深入分析。需要的朋友参考下2013-04-04
这篇文章主要为大家详细介绍了java回溯算法解数独问题,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2019-01-01
Spring boot+mybatis+thymeleaf 实现登录注册增删改查功能的示例代码
这篇文章主要介绍了Spring boot+mybatis+thymeleaf 实现登录注册增删改查功能的示例代码,本文通过实例图文相结合给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2020-07-07
这篇文章主要为大家介绍了java生成带logo的多彩二维码,比一般二维码颜色鲜艳,美观,如何生成二维码,下面小编为大家分享实现代码,感兴趣的小伙伴们可以参考一下2016-04-04
关于break和continue以及label的区别和作用(详解)
下面小编就为大家带来一篇关于break和continue以及label的区别和作用(详解)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-05-05
这篇文章主要介绍了SpringBoot后端接口的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-09-09
像H2、hsqldb、derby、sqlite这样的内存数据库,小巧可爱,做小型服务端演示程序,非常好用。最大特点就是不需要你另外安装一个数据库。本文主要介绍了SpringBoot集成内存数据库Derby,感兴趣的可以了解一下2021-09-09
这篇文章主要介绍了JAVA字符串反转的三种方法,帮助大家更好的理解和学习Java,感兴趣的朋友可以了解下2020-09-09
这篇文章主要给大家介绍了mybatisplus开启sql打印的三种方式,文章通过代码示例介绍的非常详细,对大家的学习或工作有一定的参考价值,需要的朋友可以参考下2023-11-11
最新评论