Actuator未授权访问
漏洞案例
漏洞描述
安全编码
Actuator, 是Spring Boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
【建议】 禁止对外开放不安全的接口
运行
错误配置
# 不安全的配置:Actuator设置全部暴露 management.endpoints.web.exposure.include=*
运行
安全配置
方案一、禁用接口 management.endpoints.enabled-by-default=false 方案二、使用spring security加个认证