SpringBoot Actuator未授权访问漏洞的排查和解决方法
更新时间:2024年05月13日 10:41:19 作者:Michael_ZJQ
Spring Boot Actuator 是开发和管理生产级 Spring Boot 应用程序的重要工具,它可以帮助你确保应用程序的稳定性和性能,本文给大家介绍了SpringBoot Actuator未授权访问漏洞的排查和解决方法,需要的朋友可以参考下
1. 介绍
Spring Boot Actuator 是一个用于监控和管理 Spring Boot 应用程序的功能模块。它提供了一系列生产就绪的功能,帮助你了解应用程序的运行状况,以及在运行时对应用程序进行调整。Actuator 使用了 Spring MVC 来暴露各种 HTTP 或 JMX 端点,通过这些端点你可以获取到应用程序的运行信息,如健康状态、指标、线程 dump、环境变量等。
Spring Boot Actuator 的主要特性包括:
- 健康检查:可以检查应用程序的运行状况,包括数据库连接、磁盘空间、服务状态等。
- 指标收集:收集应用程序的性能指标,如内存使用情况、处理器使用情况、HTTP 请求计数等。
- HTTP 端点:暴露了一系列的 HTTP 端点,通过这些端点可以访问应用程序的运行信息。
- 日志管理:可以动态地修改应用程序的日志级别。
- 跟踪和应用信息:提供了对应用程序的跟踪信息和应用信息的访问。
- 线程转储:可以获取应用程序的线程转储信息,帮助诊断性能问题。
- 环境信息:可以查看应用程序的配置属性和环境变量。
- 映射信息:可以查看 Spring MVC 的映射信息。
- 审计事件:可以访问应用程序的审计事件信息。
要启用 Spring Boot Actuator,你需要在项目中包含相应的依赖,然后在配置文件中配置相关的属性。Spring Boot 2.x 版本中,Actuator 的默认端点是通过 HTTP 公开的,但是出于安全考虑,除了/health和/info端点之外,其他端点默认是不对外暴露的。你可以通过配置文件来开启这些端点,并设置是否需要认证访问。
Spring Boot Actuator 是开发
2. 问题描述
<!-- SpringBoot Actuator -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
当我们的项目只是引入了 actuator 模块时,默认只公开了几个接口,如:
访问http://localhost:9200/actuator
有些情况下,我们需要将服务的健康信息上报给安全监控服务,则需要将接口打开
# 暴露监控端点
management:
endpoints:
web:
exposure:
include: '*'
此时,再次访问http://localhost:9200/actuator
也可以访问具体的属性http://localhost:9200/actuator/env
我们发现这个时候就会暴露很多服务信息,安全性得不到保证。
3. 解决方案
3.1 springboot1.x
3.1.1 禁用所有端口
#关闭全部接口 endpoints.enabled = false ###只开启某些接口 #endpoints.beans.enabled = true #endpoints.env.enabled = true #endpoints.trace.enabled = true #endpoints.metrics.enabled = true
3.1.2 安全框架控制
引入依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
配置输入账号密码验证后才允许访问
management.security.enabled=true security.user.name=admin security.user.password=admin
3.2 springboot2.x
3.2.1 禁用所有端口
management.endpoints.enabled-by-default: false
3.2.2 安全框架控制
引入依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
配置输入账号密码验证后才允许访问
spring.security.user.name=actuator spring.security.user.password=actuator
添加配置类
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
/**
* Actuator 监控端点权限
*
*/
@Configuration
public class ActuatorSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.httpBasic().and()
.authorizeRequests()
.antMatchers("/actuator/**")
.authenticated()
.anyRequest()
.permitAll();
http
// 关闭csrf token认证不需要csrf防护
.csrf().disable()
// 关闭Session会话管理器 JWT 不需要
.sessionManagement().disable()
// 关闭记住我功能 JWT 不需要
.rememberMe().disable();
}
}
4.总结
以上就是SpringBoot Actuator未授权访问漏洞的排查和解决方法的详细内容,更多关于SpringBoot Actuator访问漏洞的资料请关注脚本之家其它相关文章!
相关文章
这篇文章主要介绍了Spring WebFlux之响应式编程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2025-03-03
springboot rocketmq配置生产者和消息者的步骤
本文介绍了如何在Spring Boot中集成RocketMQ,包括添加依赖、配置application.yml、创建生产者和消费者,并展示了如何发送和接收消息,感兴趣的朋友一起看看吧2025-03-03
Mybatis-Plus Wrapper条件构造器超详细使用教程
接口方法的参数中,会出现各种 Wrapper,比如 queryWrapper、updateWrapper 等。Wrapper 的作用就是用于定义各种各样的条件(where)。所以不管是查询、更新、删除都会用到Wrapper2022-03-03
本文主要介绍了Spring中的Environment外部化配置管理,文中通过示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2022-02-02
下面小编就为大家带来一篇Java基础的几道练习题(分享)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧,希望可以帮到你2021-07-07
这篇文章主要为大家详细介绍了java处理图片背景颜色的方法,蓝底寸照批量转换为白底,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2018-04-04
在使用MybatisPlus的selectPage时发现分页不起作用,每次返回的都是全部的数据,本文就来介绍一下MybatisPlus分页失效不起作用的解决,感兴趣的可以了解一下2024-03-03
本篇文章主要介绍了SpringBoot使用自定义json解析器的使用方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2018-04-04
双向链表也叫双链表,是链表的一种,它的每个数据结点中都有两个指针,分别指向直接后继和直接前驱。本文将用Java语言实现双链表,需要的可以参考一下2022-09-09
本文主要介绍了springboot集成redisson的三种方式,包含自定义配置+手动注入,使用Yaml方式批量读取配置和spring boot自动配置类这三种,具有一定的参考价值,感兴趣的可以了解一下2024-03-03
最新评论