发表新帖

发表新帖

actuator未授权访问

Blade 未结

关注

 1  104

hvgroup 2025-11-26 11:25

一、该问题的重现步骤是什么？

安全扫描，发现

actuator未授权访问：

http://xxx.xxx.xxx.xx:8287/api/blade-log/actuator/heapdump

http://xxx.xxx.xxx.xx:8287/api/blade-system/actuator/heapdump

http://xxx.xxx.xxx.xx:8287/api/blade-business/actuator/heapdump

http://xxx.xxx.xxx.xx8287/api/blade-external/actuator/heapdump

http://xxx.xxx.xxx.xx:8287/api/blade-auth/actuator/heapdump

http://xxx.xxx.xxx.xx:8287/api/actuator/heapdump

可下载heapdump，泄露信息

二、你期待的结果是什么？实际看到的又是什么？

1、log日志不记录health接口报错，避免数据表数据过大。

2、health接口只限制允许本地访问。

3、health接口外部访问加鉴权。

4、后续容器化这个health的访问要如何处理。

三、你正在使用的是什么产品，什么版本？在什么操作系统上？

4.6.0.RELEASE,使用的是spring Cloude 版本

四、请提供详细的错误堆栈信息，这很重要。

五、若有更多详细信息，请在下面提供。

1条回答

admin (楼主)

2025-11-26 14:28

升级最新版本，然后启动的时候用prod环境 --spring.profiles.active=prod ，系统会自动拒绝非白名单ip访问 actuator接口。
具体可以看这里：https://center.javablade.com/blade/BladeX/src/branch/master/blade-gateway/src/main/java/org/springblade/gateway/filter/GatewayFilter.java

不满足你需求的可以自行拓展。

线上系统你可以访问下看看：https://api.ai.bladex.cn/blade-system/actuator/health

0 讨论(0)
发布评论:

提交评论
- 加载中...

热议问题: 升级4.7后，组织机构报错,java.lang.UnsupportedOperationException: null 1; 大屏编辑器，柱状图柱子超过2个的显示问题 1; 用新创建租户admin账号登录个别页面提示令牌过期 2; boot发布多个系统，如果在一个系统登出，其他系统也实际登出 2; 平台到设备格式转换 1; 修改了。blade-core-db 它提示我没有oracle和yashandb, 如何处理 1; 单机模式和集群模式有什么区别 1; 物联网平台中设置组态状态和事件无效 2; 请问开了sharding，之前的sql日志为什么打印不出来了呢？ 1; 物联服务启动报错 1

官方产品

BladeX 企业级开发平台 BladeX 可视化数据大屏

官方新品

BladeX 大模型开发平台 BladeX 物联网开发平台

扫一扫访问 Blade技术社区移动端