发表新帖
发表新帖

漏洞扫描扫出来有api泄露的问题

Blade 未结
关注
1 418
137446a
137446a 2023-05-24 17:01

一、该问题的重现步骤是什么?

1. bladex 版本2.9.1,客户说这个版本的存在api泄露的问题,这个api显然不是我们自己写的

2. 

3.image.png


二、你期待的结果是什么?实际看到的又是什么?


三、你正在使用的是什么产品,什么版本?在什么操作系统上?


四、请提供详细的错误堆栈信息,这很重要。


五、若有更多详细信息,请在下面提供。

1条回答
  • admin
    admin (楼主)
    2023-05-24 17:27

    这是spring官方的actuator端点,用于检查服务基本信息的,一般用于注册中心读取配置信息。

    上线后需要在外网对这个端点进行访问限制。

    具体的gateway端点的处理方式请见:https://sns.bladex.cn/article-15004.html

    其他的服务一样的逻辑,通过nginx阻断就行了,只让他内网进行访问,外网无法访问



    另外还有一个容易忽略的问题,需要配置blade.token.sign-key,配置字符串长度32位以上的token签名,防止被渗透攻击。

    0 讨论(0)
 看不清?
提交回复
热议问题
登录之后页面莫名其妙出现报错 1
协议转换脚本问题 1
seata服务请求头 1
flowable在springBoot下的版本问题 1
获取当前用户信息失败 1
新增异常 2
seata部署 1
boot项目集群部署,可能出现token接口好使,但是请求未授权 1
4.1.0升级版本4.2.0版本升级问题 2
新增按钮,查看按钮,修改按钮都不显示 1
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方新品
BladeX 物联网开发平台
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2024 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号