安全漏洞

Blade 未结 1 9
cl
cl 剑侠 1小时前

安全漏洞问题 

Actuator监控端点未授权访问

中危

https://外网地址/api/actuator/env

 

Spring Boot Actuator提供了丰富的应用监控和管理端点,在未授权的情况下,攻击者可访问以下敏感信息:
1. /env 端点泄露环境变量、数据库连接信息、密钥等;
2. /configprops 暴露所有配置属性;
3. /shutdown 端点(若开启)可直接关闭应用服务,造成业务中断。该漏洞为攻击者提供了深入的侦察信息,极大降低了后续攻击难度。

1. 分环境处置:在开发/测试环境中可保留Actuator端点以便调试,但在生产环境中应通过 management.endpoints.web.exposure.exclude=* 排除所有非必要端点,仅保留 /health/info 等对安全无影响的心跳检查端点;

2. 认证强制:若业务确实需要暴露其他Actuator端点(如 /env/metrics),必须为其配置Spring Security认证,且认证凭据不得使用默认值或弱口令;
3. IP白名单:在网关或反向代理层配置IP白名单,仅允许公司运维出口IP、堡垒机IP、监控平台IP访问Actuator路径;

4.独立端口:使用 management.server.port 将Actuator绑定到独立的端口,不与业务接口共用端口,降低被扫描发现的概率。


1条回答
提交回复