发表新帖
发表新帖

关于blade-auth/actuator/env接口未授权访问能暴露敏感配置信息问题,可能会被信息窃取以及黑客攻击

Blade 未结
关注 举报
1 750
yoeaki
yoeaki 剑者 2023-03-30 09:15

微服务版本:blade3.0.1

最近在接口扫描发现bladex微服务版本中有一些接口在未授权的情况下能够访问,并获取到敏感信息,这些敏感信息将会造成数据丢失和黑客攻击。

请求api如下:http://192.168.xxx.xxx/blade-auth/actuator/env
获取到的内容信息如下:redis连接信息、mysql连接信息、minio配置信息、第三方登录配置、白名单接口等信息。发现这些信息都来自于ymal配置文件中,请问,这个接口有什么作用,为什么不关闭这样的接口? 我相信很多已经部署的网站应该也出现这样的问题,希望作者重视这个问题,并且给出解决的建议。

如果有发现这个问题的朋友,建议先把服务关闭,修复后再上线。否则信息可能会被黑客攻击,导致数据丢失。

一下是部分截图:

image.png

1条回答
  • yoeaki
    2023-03-30 10:03

    解决方法:如果使用nginx的,在nginx中配置拦截/actuator访问的路径,
    一定要检查自己的项目nginx有没有配置,如果没有就可能存在信息泄漏。

    0 讨论(0)
 看不清?
提交回复
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方新品
BladeX 物联网开发平台
热议问题
登录之后页面莫名其妙出现报错 1
协议转换脚本问题 1
seata服务请求头 1
flowable在springBoot下的版本问题 1
获取当前用户信息失败 1
新增异常 2
seata部署 1
boot项目集群部署,可能出现token接口好使,但是请求未授权 1
4.1.0升级版本4.2.0版本升级问题 2
新增按钮,查看按钮,修改按钮都不显示 1
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2024 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号