Spring Boot Actuator 未授权访问漏洞
详细描述
Actuator是Spring Boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
修复建议
1.配置认证
在项目的pom.xml文件下引入spring-boot-starter-security依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
然后在application.properties中开启security功能,配置访问账号密码,重启应用即可弹出。
management.security.enabled=true
security.user.name=admin
security.user.password=admin
2.禁用接口
禁用全部接口:
endpoints.enabled = false
禁用部分接口,如env:
endpoints.env.enabled = false
management.endpoints.web.exposure.exclude=env,heapdump,threaddump,mappings
# 完全禁用actuator
management.server.port=-1