渗透测试漏洞

Blade 未结 1 318
yangli
yangli 2024-08-30 14:13

一、该问题的重现步骤是什么?

渗透测试漏洞

1. Spring BootActuator未授权访问漏洞,攻击者可通过访问默认的执行器端点(endpoints)来获取应用系统中的相关敏感信息。
访问nacosconfig可获取内网nacos密码

2.平台存在Swagger未授权访问漏洞,攻击者可以利用该漏洞遍历所有API接口,可能存在未授权API可对数据进行任意操作,导致敏感数据泄露、数据丢失、数据破坏等风险


二、你期待的结果是什么?实际看到的又是什么?

想解决这个问题

三、你正在使用的是什么产品,什么版本?在什么操作系统上?

bladex-3.0.1      window

四、请提供详细的错误堆栈信息,这很重要。


五、若有更多详细信息,请在下面提供。

1条回答
  •  zhx1994
    zhx1994 (楼主)
    2024-08-30 19:02

    1. 在nginx上面添加这个配置:1725015679398.jpg

    2. swagger在生产环境用prod配置启动的服务是禁用的:1725015733912.jpg

    0 讨论(0)
提交回复