Springboot框架actuator配置不当修复⽅案及验证详细Springboot框架actuator配置不当修复⽅案及验证详细
1.判断是否使⽤了Springboot框架
⽅法⼀: 查看⽹页图标 如果是类似SpringBoot框架的默认图标
这样的图标则⼤概率是使⽤了该框架
⽅法⼆:在⽅法⼀如果不能完全确定时,可以在⽹页路径在输⼊错误路径导致⽹页报错
查看⽹页的报错界⾯,如果是如下界⾯则基本可以确定使⽤了SpringBoot框架
2.枚举actuator下的路径
在确定是SpringBoot框架后,枚举站点的⼀级、⼆级甚⾄三级⽬录,查看⽬录下⾯是否存在actuator执⾏端点路径
在application.properties配置⽂件中查看actuator的访问路径
如 设置t-path=/monitor
则访问访问ip:port/monitor/actuator
默认配置下 t-path=/
此时访问ip:port/actuator 暴露配置信息
根据actuator信息知道可以访问/actuator/health 和 /actuator/info
springframework远程代码执行漏洞
Actuator模块下路径功能
漏洞修复⽅案
⽅案⼀:
可以在application.properties配置⽂件修改配置
开启业务需求上必须的端⼝(建议全部禁⽤)
通过配置dpoint.<;端点名称>.enabled为true/false来开启/禁⽤端⼝``
通过配置posure.include=xxx 来暴露某个web端点
通过配置lude=xxx 来隐藏某个web端点
如:
暴露所有端点
隐藏(不暴露)端点info
隐藏(不暴露)端点env beans
⽅案⼆:
引⼊安全依赖,增加验证环节
引⼊spring-boot-starter-security依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
在application.properties中指定actuator的端⼝以及开启security功能,下图是程序启动时⾃动⽣成的字符串
management.port=8099
abled=true
security.user.name=账号
security.user.password=密码(注意密码复杂度)
这样再访问actuator的时候就会弹出登陆框
验证⽅法
再次访问指定的路径,若未能查看到配置信息,则配置安全
总结
在使⽤Actuator时,不正确的使⽤或者⼀些不经意的疏忽,就会造成严重的信息泄露等安全隐患。在代码审计时如果是Springboot项⽬并且遇到actuator依赖,则有必要对安全依赖及配置进⾏复查。也可作为⼀条规则添加到⿊盒扫描器中进⼀步把控。
安全的做法是⼀定要引⼊security依赖,打开安全限制并进⾏⾝份验证。同时设置单独的Actuator管理端⼝并配置不对外⽹开放。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。