漏洞扫描扫出来有api泄露的问题

Blade 未结 1 446
137446a
137446a 剑圣 2023-05-24 17:01

一、该问题的重现步骤是什么?

1. bladex 版本2.9.1,客户说这个版本的存在api泄露的问题,这个api显然不是我们自己写的

2. 

3.image.png


二、你期待的结果是什么?实际看到的又是什么?


三、你正在使用的是什么产品,什么版本?在什么操作系统上?


四、请提供详细的错误堆栈信息,这很重要。


五、若有更多详细信息,请在下面提供。

1条回答
  • 2023-05-24 17:27

    这是spring官方的actuator端点,用于检查服务基本信息的,一般用于注册中心读取配置信息。

    上线后需要在外网对这个端点进行访问限制。

    具体的gateway端点的处理方式请见:https://sns.bladex.cn/article-15004.html

    其他的服务一样的逻辑,通过nginx阻断就行了,只让他内网进行访问,外网无法访问



    另外还有一个容易忽略的问题,需要配置blade.token.sign-key,配置字符串长度32位以上的token签名,防止被渗透攻击。

    0 讨论(0)
提交回复