安全漏洞问题
Actuator监控端点未授权访问 |
中危 |
https://外网地址/api/actuator/env |
|
Spring Boot Actuator提供了丰富的应用监控和管理端点,在未授权的情况下,攻击者可访问以下敏感信息: |
1. 分环境处置:在开发/测试环境中可保留Actuator端点以便调试,但在生产环境中应通过 management.endpoints.web.exposure.exclude=* 排除所有非必要端点,仅保留 /health、/info 等对安全无影响的心跳检查端点; 2. 认证强制:若业务确实需要暴露其他Actuator端点(如 /env、/metrics),必须为其配置Spring Security认证,且认证凭据不得使用默认值或弱口令; 4.独立端口:使用 management.server.port 将Actuator绑定到独立的端口,不与业务接口共用端口,降低被扫描发现的概率。 |
扫一扫访问 Blade技术社区 移动端