关于blade-auth/actuator/env接口未授权访问能暴露敏感配置信息问题,可能会被信息窃取以及黑客攻击

Blade 未结 1 806
yoeaki
yoeaki 2023-03-30 09:15

微服务版本:blade3.0.1

最近在接口扫描发现bladex微服务版本中有一些接口在未授权的情况下能够访问,并获取到敏感信息,这些敏感信息将会造成数据丢失和黑客攻击。

请求api如下:http://192.168.xxx.xxx/blade-auth/actuator/env
获取到的内容信息如下:redis连接信息、mysql连接信息、minio配置信息、第三方登录配置、白名单接口等信息。发现这些信息都来自于ymal配置文件中,请问,这个接口有什么作用,为什么不关闭这样的接口? 我相信很多已经部署的网站应该也出现这样的问题,希望作者重视这个问题,并且给出解决的建议。

如果有发现这个问题的朋友,建议先把服务关闭,修复后再上线。否则信息可能会被黑客攻击,导致数据丢失。

一下是部分截图:

image.png

1条回答
  •  yoeaki
    yoeaki (楼主)
    2023-03-30 10:03

    解决方法:如果使用nginx的,在nginx中配置拦截/actuator访问的路径,
    一定要检查自己的项目nginx有没有配置,如果没有就可能存在信息泄漏。

    0 讨论(0)
提交回复