针对springboot actuator未授权访问漏洞的解决办法

最新推荐文章于 2024-04-14 20:45:11 发布
最新推荐文章于 2024-04-14 20:45:11 发布
阅读量4.1k 收藏 10
点赞数
分类专栏: springboot 文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gl19980514/article/details/126122940
版权

在实际项目开发中可能需要用到actuator健康检测插件来检测程序运行状态,但由于actuator暴露的端口无须登录即可访问,对程序的安全性不大友好,总结了现在网上主流的一些办法,希望遇到这个问题的朋友可以参考

一:直接屏蔽所有端口

通过下面配置文件可以简单粗暴直接屏蔽所有端口,但是可能对需要访问的端口不太友好

management.endpoints.web.exposure.include= "*"
management.endpoints.enabled-by-default= false

二: 通过配置文件设置访问后可访问

在项目目录新建config文件夹,新建下面两个文件

  1. ActuatorFilter
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Base64;
import java.util.Enumeration;

public class ActuatorFilter implements Filter {

    public static final Logger logger = LoggerFactory.getLogger(ActuatorFilter.class);

    public static final String ACTUATOR_SESSION = "ActuatorBasicAuthSession";

    private String userName;

    private String password;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        Enumeration<String> enumeration = filterConfig.getInitParameterNames();
        if (enumeration.hasMoreElements()) {
            this.userName = filterConfig.getInitParameter("actuatorUserName");
            this.password = filterConfig.getInitParameter("actuatorPassword");
        }
        logger.info("ActuatorFilter init success");
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        String path = request.getRequestURI();
        //可以把所有暴露出来的端点路径放在一个集合里面进行判断
        if (path.startsWith("/actuator")) {
            Object actuatorSessionValue = request.getSession().getAttribute(ACTUATOR_SESSION);
            if (actuatorSessionValue == null || !userName.equals(actuatorSessionValue)) {
                String auth = request.getHeader("Authorization");
                if (auth != null && !"".equals(auth)) {
                    //解析认证参数
                    String userAndPass = this.decodeBase64(auth.substring(6));
                    String[] upArr = userAndPass.split(":");
                    if (upArr.length != 2) {
                        this.writeForbiddenCode(response);
                        return;
                    }
                    String iptUser = upArr[0];
                    String iptPass = upArr[1];
                    if (iptUser.equals(this.userName) && iptPass.equals(this.password)) {
                        request.getSession().setAttribute(ACTUATOR_SESSION, this.userName);
                        filterChain.doFilter(request, response);
                        return;
                    }
                    this.writeForbiddenCode(response);
                    return;
                } else {
                    this.writeForbiddenCode(response);
                    return;
                }
            }
        }
        filterChain.doFilter(request, response);
    }

    /**
     * 未认证时返回401认证页面
     *
     * @param httpServletResponse
     * @throws IOException
     */
    private void writeForbiddenCode(HttpServletResponse httpServletResponse) throws IOException {
        httpServletResponse.setStatus(401);
        httpServletResponse.setHeader("WWW-Authenticate", "Basic realm=\"input Actuator Basic userName & password \"");
        httpServletResponse.getWriter().write("没有权限访问当前资源");
    }

    private String decodeBase64(String source) {
        String decodeStr = null;
        if (source != null) {
            try {
                byte[] bytes = Base64.getDecoder().decode(source);
                decodeStr = new String(bytes);
            } catch (Exception var4) {
                this.logger.error(var4.getMessage(), var4);
            }
        }

        return decodeStr;
    }
}
  1. WebMvcConfig
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    @Bean
    public FilterRegistrationBean actuatorFilter () {
        FilterRegistrationBean registrationBean = new FilterRegistrationBean();
        registrationBean.setFilter(new ActuatorFilter());
        registrationBean.setName("actuator");
        registrationBean.addUrlPatterns("/*");
        registrationBean.setOrder(Integer.MAX_VALUE);

        //用户名密码可以配置在配置文件中或者配置中心
        registrationBean.addInitParameter("actuatorUserName", "admin");
        registrationBean.addInitParameter("actuatorPassword", "123456");
        return  registrationBean;
    }
}

加上上面两个文件后重启项目,会在访问相应端口时提供验证界面,输入正确的用户名密码后可以访问相应资源。

听闻如故
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
详解关于springboot-actuator监控的401无权限访问
08-29
本篇文章主要介绍了详解关于springboot-actuator监控的401无权限访问,非常具有实用价值,有兴趣的可以了解一下
Spring Boot Actuator授权访问漏洞
qq_35456400的博客
08-10 8785
Spring Boot Actuator 端点的授权访问漏洞是一个安全性问题,可能会导致授权的用户访问敏感的应用程序信息。可是并不用太过担心,Spring Boot Actuator 默认暴漏的信息有限,一般情况下并不会暴露敏感数据。注册中心有些功能集成了actuator,如果同时使用eureka和actuator,可以在eureka中点击注册链接查看健康状态信息(/actuator/info)。
漏洞复现 - - - Springboot授权访问
qq_44005305的博客
03-09 1268
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
如何解决 Spring Boot Actuator授权访问漏洞
09-22 2559
的作用是提供了一组管理和监控端点,允许你查看应用程序的运行时信息,例如健康状态、应用程序信息、性能指标等。这些端点对于开发、和运维团队来说都非常有用,可以帮助快速诊断问题、监控应用程序的性能,并采取必要的措施来维护和管理应用程序。
记一次网关项目Actuator授权访问漏洞的修复方案
DearLC的博客
07-13 5752
springboot actuator授权访问漏洞修复方案
Spring Boot应用集成Actuator端点自定义Filter解决授权访问漏洞
C_AJing的博客
02-19 1300
我们知道想要实时监控我们的应用程序的运行状态,比如实时显示一些指标数据,观察每时每刻访问的流量,或者是我们数据库的访问状态等等,需要使用到Actuator组件,但是Actuator有一个访问授权问题,简单说就是其他人可以通过Actuator组件暴露的URL进行端点信息访问,甚至shutdown应用。那么我们有没有什么解决方法呢?endpoints:web:exposure:whiteUrl: # 白名单,配置白名单的URL请求时不需要验证,多个可以用英文逗号分隔。
Spring Boot后端: Actuator授权访问漏洞解决
qq_46119575的博客
01-05 1万+
Spring Boot后端: Actuator授权访问漏洞解决
SpringBoot Actuator授权访问漏洞修复
JHIII的博客
08-25 2万+
目前SpringBoot得框架,越来越广泛,大多数中小型企业,在开发新项目得时候。后端语言使用java得情况下,首选都会使用到SpringBoot。在很多得一些开源得框架中,例如: ruoyi若以,这些。不知道是出于什么原因?我们都会在这些框架中得pom文件中找到的依赖。嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件中;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。例如下面:对于这些漏洞,我们开始修复喽!!!
Spring Boot Actuator授权访问排查和整改指南
weixin_44106034的博客
10-19 9623
1、信息泄露:授权访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对授权用户开放。2、系统破坏:攻击者可以通过Actuator端点的授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
Spring Boot Actuator授权访问漏洞利用
热门推荐
Bird&Bird
08-24 4万+
目录一、前言二、端点描述三、漏洞发现四、漏洞利用五、安全措施六、安全建议 一、前言 ActuatorSpring Boot 提供的服务监控和管理中间件。当 Spring Boot 应用程序运行时,它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置,就有可能导致一些系统信息泄露、XXE、甚至是 RCE 等安全问题。 二、端点描述 官方文档对每个端点的功能进行了描述。 路径 描述 /autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过 /be
修复SpringBoot Actuator授权访问遇到的问题
玛卡巴卡的博客
03-30 4013
访问http://xxx.xx.x/actuator 会直接获取到系统监控信息,存在安全问题。
一个使用springboot actuator监控应用的实战项目例子
04-16
一个使用springboot actuator监控应用的实战项目例子,对于想使用actuator来监控应用的初级程序员来说是一个不错的学习例子! 关注我!给我留言或者私信发邮箱,看到的话可以给你们发资源哦~
使用SpringBoot Actuator监控应用示例
08-27
ActuatorSpring Boot提供的对应用系统的自省和监控的集成功能,可以对应用系统进行配置查看、相关功能统计等。这篇文章主要介绍了使用SpringBoot Actuator监控应,有兴趣的可以了解一下
SpringBoot 监控管理模块actuator没有权限的问题解决方法
08-28
主要介绍了SpringBoot 监控管理模块actuator没有权限的问题解决方法,需要的朋友可以参考下
Springboot actuator应用后台监控实现
08-19
主要介绍了Springboot actuator应用后台监控实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Boot 连接 RabbitMQ
论如何更高效的送外卖
04-11 1121
Spring Boot 连接 RabbitMQ
Spring Boot深度解析:是什么、为何使用及其优势所在
2201_75642955的博客
04-10 1068
Spring Boot遵循“约定优于配置”的原则,通过大量的默认配置,减少了开发者在构建Spring应用时所需的手动配置工作。同时,Spring Boot还集成了众多常用的开发库和工具,如Spring MVC、JPA、Thymeleaf等,使得开发者可以快速地创建出生产就绪的应用程序。在Java企业级应用开发的漫长历史中,Spring框架以其卓越的依赖注入和面向切面编程的能力,赢得了广大开发者的青睐。:Spring Boot通过大量的默认配置和自动配置功能,极大地简化了Spring应用的搭建和配置过程。
基于spring boot的班级综合测评管理系统
wjhltl的博客
04-11 758
基于spring boot的班级综合测评管理系统
Spring Boot 经典面试题(八)
最新发布
Nekosann的博客
04-14 933
Spring Boot微服务中实现session共享可以通过不同的方式,取决于你的微服务架构和需求。根据你的具体需求和微服务架构,选择合适的方法来实现session共享。每种方法都有其优缺点,需要根据实际情况进行权衡和选择。
SpringBoot Actuator授权访问漏洞 http://25.90.180.34/actuator/env
05-19
SpringBoot ActuatorSpring Boot提供的一个监控和管理Spring Boot应用程序的框架,包括健康检查、审计、统计和HTTP...综上所述,对于SpringBoot Actuator授权访问漏洞,你应该及时采取相应的措施进行修复和防范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值