修复SpringBoot Actuator未授权访问遇到的问题

最新推荐文章于 2025-07-09 19:30:10 发布
最新推荐文章于 2025-07-09 19:30:10 发布
阅读量3.1k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 面试 学习路线 阿里巴巴 文章标签: spring boot java 运维 stm32 servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/web13116256725/article/details/126800629
文章讲述了在SpringBoot Actuator出现未授权访问问题时,如何进行安全性修复。作者分析了风险,提出了三种解决方案,包括禁用特定接口、排除暴露端点和启用security验证。在实践中,由于微服务设计不合理,最终选择了禁用/env接口的方案,成功解决了安全问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

问题场景:线上页面安全测试反馈存在SpringBoot Actuator未授权访问问题。简单说就是访问https://xxx.xx.x/actuator/env(xxx.xx.x,页面调用接口域名)时,会返回全部环境属性。

****风险分析:****Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。

Actuator 相关信息可以自行检索了解,在查找解决方案时,发现主要有以下几种处理:
1.禁用/env接口

management:
  endpoint:
    env:
      enabled: false

2.可以在配置文件中把暴露出的端点排除掉

#开启所有的端点访问(目前 health和info是默认开启的)
management.endpoints.web.exposure.include=*
#屏蔽掉health端点
management.endpoints.web.exposure.exclude=health

3.引入spring-boot-starter-security依赖

<dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
</dependency>

在application.properties中指定actuator的端口以及开启security功能,配置访问权限验证,这时再访问actuator功能时就会弹出登录窗口,需要输入账

最低0.47元/天 解锁文章

200万优质内容无限畅学
web渗透测试漏洞复现:Springboot Actuator未授权漏洞复现
HACKONE的博客
03-28 4764
pring Boot ActuatorSpring Boot 框架中非常重要的一个模块,设计用于增强应用程序在生产环境中的可观察性和管理能力。Actuator 提供了一系列内建的端点(Endpoints),这些端点可通过 HTTP 或 JMX 接口暴露应用的健康状况、度量指标、审计信息、环境属性、 Beans 列表等多种内部状态信息。
Spring Boot Actuator未授权访问排查和整改指南
热门推荐
weixin_44106034的博客
10-19 4万+
1、信息泄露:未授权访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对未授权用户开放。2、系统破坏:攻击者可以通过Actuator端点的未授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
SpringBoot Actuator未授权访问漏洞修复
JHIII的博客
08-25 2万+
目前SpringBoot得框架,越来越广泛,大多数中小型企业,在开发新项目得时候。后端语言使用java得情况下,首选都会使用到SpringBoot。在很多得一些开源得框架中,例如: ruoyi若以,这些。不知道是出于什么原因?我们都会在这些框架中得pom文件中找到的依赖。嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件中;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。例如下面:对于这些漏洞,我们开始修复喽!!!
SpringBoot Actuator 未授权访问漏洞
最新发布
m0_73399576的博客
07-09 1381
知识面,决定看到的攻击面有多广。知识链,决定发动的杀伤链有多深。
Spring Boot Actuator未授权访问漏洞处理
爱米酱的博客
12-02 5445
【代码】Spring Boot Actuator未授权访问漏洞处理。
Spring Boot Actuator未授权访问漏洞修复
m18066975852的博客
06-03 1279
在网关的配置文件里增加以下配置。
spring-boot-3.2.3.zip
04-21
在使用 SpringBoot 3.2.3 版本时,开发者需要注意查阅官方文档以了解可能的新特性、修复的 bug 和潜在的兼容性问题。同时,定期更新至最新稳定版可以确保应用的安全性和性能。如果在下载或使用过程中遇到问题,可以...
免费下载SpringBoot 2.6.15完整版
最后,关于资源下载方面,本资源提供了免费下载的入口,如果用户在免费下载过程中遇到任何问题,可以通过关注资源发布者并留言的方式,寻求帮助或获取资源。需要注意的是,在下载和使用开源软件时,应遵循相应的开源...
一个基于SpringBoot开发的RBAC系统,非常适合新手入门JavaWeb代码审计实战的系统,长文警告,要好好学习。
Power7089的博客
08-08 3452
一个基于SpringBoot开发的RBAC系统,非常适合新手入门JavaWeb代码审计的系统,长文警告,要好好学习哦。
spring-boot-2.4.0.zip
04-21
4. **Actuator**:SpringBoot 提供了一个名为 Actuator 的模块,用于监控和管理应用程序,提供健康检查、指标、审计跟踪等功能。 5. **Spring Cloud**:SpringBootSpring Cloud 结合使用,可以轻松构建分布式...
Spring Boot Actuator未授权访问漏洞
SummerGao
12-03 4735
Spring Boot ActuatorSpring Boot提供的一个用于对应用系统进行自省和监控的功能模块。它允许开发者通过暴露的端点(Endpoints)来查看和交互应用系统的各种指标和配置信息,如健康检查、环境属性、线程转储、HTTP追踪等。这些端点对于开发者在开发、测试以及生产环境中监控和管理应用非常有用。
Spring Boot应用集成Actuator端点自定义Filter解决未授权访问漏洞
Coder-文小白的博客
02-19 2963
我们知道想要实时监控我们的应用程序的运行状态,比如实时显示一些指标数据,观察每时每刻访问的流量,或者是我们数据库的访问状态等等,需要使用到Actuator组件,但是Actuator有一个访问未授权问题,简单说就是其他人可以通过Actuator组件暴露的URL进行端点信息访问,甚至shutdown应用。那么我们有没有什么解决方法呢?endpoints:web:exposure:whiteUrl: # 白名单,配置白名单的URL请求时不需要验证,多个可以用英文逗号分隔。
Spring Boot Actuator未授权访问漏洞和Apache Druid 漏洞修复
songshao の blog
06-24 1万+
Spring Boot Actuator未授权访问漏洞 详细描述 ​ Actuatorspringboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。 解决办法 1.配置认证 在项目的pom.xml文件下引入spring-boot-starter-security依赖
【高危】Spring Boot Actuator未授权访问
imudges_hanhaoyu的博客
05-29 1663
一个SpringBoot的项目,采用了若依的框架,不知道是框架自带的还是有人单独加的,项目里用到了。(以下简称SBA)主要用于Spring Boot应用的健康检查,配合K8S可用于服务部署,切换流量,监控报警等场景。但是就我的理解,这个项目是一个比较简单的项目,应该是用不到Spring Boot Actuator的然后,被检测出来,有漏洞了。。。
SpringBoot Actuator未授权访问
jenchoi413的博客
02-07 1656
Spring Boot Actuator 是一个用于监控和管理 Spring Boot 应用的库,提供了多种端点(endpoints)来查看应用的运行状态、健康检查、指标、日志等信息,适用于生产环境监控和故障排查。健康检查(Health)显示应用健康状态,如数据库、缓存等组件的可用性。应用指标(Metrics)提供 CPU、内存、GC、请求统计等信息。环境信息(Env)显示应用环境变量和配置属性。日志管理(Loggers)允许动态调整日志级别。线程 Dump(Thread Dump)
springboot Actuator未授权访问漏洞
qq_45382625的博客
08-29 1165
Spring Boot 2.X 中,Actuator 默认开放 health 和 info 两个端点,如果需要配置开放所有端点(配置值为 "*" 代表所有)
漏洞复现 - - - Springboot未授权访问
qq_44005305的博客
03-09 3735
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值