国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

SpringBoot應(yīng)用監(jiān)控Actuator使用的安全隱患

2年前作者：. after分類：Toy博客閱讀(16)違法舉報(bào)

這篇具有很好參考價值的文章主要介紹了SpringBoot應(yīng)用監(jiān)控Actuator使用的安全隱患。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

0x01:前言

Actuator 是 springboot 提供的用來對應(yīng)用系統(tǒng)進(jìn)行自省和監(jiān)控的功能模塊，借助于 Actuator 開發(fā)者可以很方便地對應(yīng)用系統(tǒng)某些監(jiān)控指標(biāo)進(jìn)行查看、統(tǒng)計(jì)等。在 Actuator 啟用的情況下，如果沒有做好相關(guān)權(quán)限控制，非法用戶可通過訪問默認(rèn)的執(zhí)行器端點(diǎn)（endpoints）來獲取應(yīng)用系統(tǒng)中的監(jiān)控信息。Actuator 配置不當(dāng)導(dǎo)致應(yīng)用系統(tǒng)監(jiān)控信息泄露對應(yīng)用系統(tǒng)及其用戶的危害是巨大的隱患。

0X02：Actuator 簡介

如上所言，actuator 是 springboot 提供的用來對應(yīng)用系統(tǒng)進(jìn)行自省和監(jiān)控的功能模塊。其提供的執(zhí)行器端點(diǎn)分為兩類：原生端點(diǎn)和用戶自定義擴(kuò)展端點(diǎn)，原生端點(diǎn)主要有：

SpringBoot應(yīng)用監(jiān)控Actuator使用的安全隱患

0X03:漏洞危害

actuator 的配置不當(dāng)漏洞，導(dǎo)致監(jiān)控信息的泄漏

（1.）認(rèn)證字段的獲取以證明可影響其他用戶；這個主要通過訪問/trace 路徑獲取用戶認(rèn)證字段信息，比如如下站點(diǎn)存在 actuator 配置不當(dāng)漏洞，在其 trace 路徑下，除了記錄有基本的 HTTP 請求信息（時間戳、HTTP 頭等），還有用戶 token、cookie 字段、trace 路徑：
SpringBoot應(yīng)用監(jiān)控Actuator使用的安全隱患

（2.）用戶認(rèn)證字段泄露：
SpringBoot應(yīng)用監(jiān)控Actuator使用的安全隱患

通過替換 token 字段可獲取其他用戶的信息：
SpringBoot應(yīng)用監(jiān)控Actuator使用的安全隱患

（3.）數(shù)據(jù)庫賬戶密碼泄露；由于 actuator 會監(jiān)控站點(diǎn) mysql、mangodb 之類的數(shù)據(jù)庫服務(wù)，所以通過監(jiān)控信息有時可以拿到 mysql、mangodb 數(shù)據(jù)庫；這個主要通過/env 路徑獲取這些服務(wù)的配置信息
SpringBoot應(yīng)用監(jiān)控Actuator使用的安全隱患

（4.）后臺用戶賬號密碼泄露；這個一般是在/heapdump 路徑下，訪問/heapdump 路徑，返回 GZip 壓縮 hprof 堆轉(zhuǎn)儲文件。在 Android studio 打開，會泄露站點(diǎn)內(nèi)存信息，很多時候會包含后臺用戶的賬號密碼

危害總結(jié)：

利用env加refresh可以getshell
利用mappings，獲取未授權(quán)接口
利用trace，獲取認(rèn)證信息（Cookie、tooken、Session），利用認(rèn)證信息訪問接口。
env有可能泄露的數(shù)據(jù)庫賬號密碼。

0x04:安全措施

如果上述請求接口不做任何安全限制，安全隱患顯而易見。實(shí)際上Spring Boot也提供了安全限制功能。比如要禁用/env接口，則可設(shè)置如下：

endpoints.env.enabled= false

如果只想打開一兩個接口，先禁用全部接口，然后啟用需要的接口：

endpoints.enabled = false
endpoints.metrics.enabled = true

另外也可以引入spring-boot-starter-security依賴

<dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
</dependency>

在application.properties中指定actuator的端口以及開啟security功能，配置訪問權(quán)限驗(yàn)證，這時再訪問actuator功能時就會彈出登錄窗口，需要輸入賬號密碼驗(yàn)證后才允許訪問

management.port=8099
management.security.enabled=true
security.user.name=admin
security.user.password=admin

0X05:安全建議

在使用Actuator時，不正確的使用或者一些不經(jīng)意的疏忽，就會造成嚴(yán)重的信息泄露等安全隱患。springboot項(xiàng)目若啟用actuator依賴，則有必要對安全依賴及配置進(jìn)行復(fù)查。安全的做法是一定要引入security依賴，打開安全限制并進(jìn)行身份驗(yàn)證。同時設(shè)置單獨(dú)的Actuator管理端口并配置不對外網(wǎng)開放。

0x06：參考鏈接

https://docs.spring.io/spring-boot/docs/current/reference/htmlsingle/#actuator文章來源地址http://www.zghlxwxcb.cn/news/detail-452631.html

到了這里，關(guān)于SpringBoot應(yīng)用監(jiān)控Actuator使用的安全隱患的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點(diǎn)僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

【SpringBoot系列】- 四大核心之a(chǎn)ctuator(程序監(jiān)控器)
應(yīng)用系統(tǒng)在開發(fā)完成以后，就投入實(shí)際生產(chǎn)中運(yùn)營。在軟件運(yùn)行時，整個軟件一個黑盒，如何在整個生命周期中準(zhǔn)確的知道應(yīng)用程序運(yùn)行的健康狀況，服務(wù)使用狀態(tài)？我們需要對應(yīng)用程序進(jìn)行監(jiān)控，從而了解應(yīng)用的運(yùn)行狀態(tài)，并根據(jù)情況決定是否需要對其運(yùn)行狀態(tài)進(jìn)行調(diào)整。
2024年02月15日
瀏覽(19)
SpringBoot+actuator和admin-UI實(shí)現(xiàn)監(jiān)控中心
使用SpringBoot很久了，但是很少使用到SpringBoot的查看和監(jiān)控，將來八成也不會用到，萬一有機(jī)會用到呢？所以記錄一下以前學(xué)習(xí)SpringBoot+actuator和adminUI實(shí)現(xiàn)監(jiān)控中心的方式 Springboot的版本2.0.x 導(dǎo)入對應(yīng)的包 application.properties 啟動之后訪問在這里使用的Actuator是spring boot的一個附
2024年02月14日
瀏覽(17)
低壓安全用電云平臺隱患故障的應(yīng)用設(shè)計(jì) 安科瑞許敏
前言：低壓安全用電系統(tǒng)是保障用電質(zhì)量的重要依托，也是增強(qiáng)用電安全性的根本依據(jù)。而在其中應(yīng)用物聯(lián)網(wǎng)技術(shù)，可進(jìn)一步提升監(jiān)測效率。在此之上，文章簡要分析了低壓安全用電系統(tǒng)的設(shè)計(jì)基準(zhǔn)與監(jiān)測內(nèi)容，并通過科學(xué)制定系統(tǒng)建設(shè)方案、打造物聯(lián)網(wǎng)架構(gòu)體系、引入安全
2024年02月08日
瀏覽(13)
actuator/prometheus使用pushgateway上傳jvm監(jiān)控?cái)?shù)據(jù)
? ? ? ?? prometheus已經(jīng)部署pushgateway服務(wù)，訪問{pushgateway.server:9091}可以看到面板基于springboot引入支持組件，版本可以開啟配置 ? ? ? ? ?在pushgateway面板中會顯示新增的服務(wù)，在prometheus中也可能看到采集的數(shù)據(jù)
2024年02月12日
瀏覽(27)
【監(jiān)控】spring actuator源碼速讀
目錄 1.前言 2.先摟一眼EndPoint 3.EndPoint如何被注入 4.EndPoint如何被暴露 4.1.如何通過http暴露 4.2.如何通過jmx暴露 5.EndPoint是怎么實(shí)現(xiàn)監(jiān)控能力的 6.知道這些的意義是什么版本：spring-boot-starter-actuator? 2.6.3 閱讀源碼一定要帶著疑問去閱讀，這個疑問就是你閱讀的主線，不然在浩如
2024年02月19日
瀏覽(20)
SpringCloud微服務(wù)的監(jiān)控器，Actuator
在微服務(wù)系統(tǒng)里，對微服務(wù)程序的運(yùn)行狀況的跟蹤和監(jiān)控是必不可少的；例如GPE，Telegraf+influxDB都提供了微服務(wù)體系監(jiān)控的方案， ZIPKIN， Skywalking都提供了微服務(wù)云體系的APM的方案；這些解決方案功能全面；但是都需要提供額外的資源進(jìn)行架構(gòu)；其實(shí)在SpringBoot構(gòu)建的微服務(wù)
2023年04月18日
瀏覽(22)
Spring Boot自帶監(jiān)控組件—Actuator介紹
Actuator是Spring Boot提供的應(yīng)用系統(tǒng)監(jiān)控的開源框架，它是Spring Boot體系中非常重要的組件。它可以輕松實(shí)現(xiàn)應(yīng)用程序的監(jiān)控治理，支持通過眾多REST接口、遠(yuǎn)程Shell和JMX收集應(yīng)用的運(yùn)行情況。 Actuator的核心是端點(diǎn)（Endpoint），它用來監(jiān)視、提供應(yīng)用程序的信息，Spring Boot提供的sp
2024年02月04日
瀏覽(23)
Spring Boot2.xx開啟監(jiān)控 Actuator
? ? ? ? ? ? ? ? ? ? ? ? docker實(shí)戰(zhàn)(一):centos7 yum安裝docker docker實(shí)戰(zhàn)(二):基礎(chǔ)命令篇 docker實(shí)戰(zhàn)(三):docker網(wǎng)絡(luò)模式(超詳細(xì)) docker實(shí)戰(zhàn)(四):docker架構(gòu)原理 docker實(shí)戰(zhàn)(五):docker鏡像及倉庫配置 docker實(shí)戰(zhàn)(六):docker 網(wǎng)絡(luò)及數(shù)據(jù)卷設(shè)置 docker實(shí)戰(zhàn)(七):docker 性質(zhì)及版本選擇認(rèn)知升維: 道、法
2024年02月14日
瀏覽(31)
云計(jì)算存在的安全隱患
目錄一、概述二、ENISA云安全漏洞分析三、云計(jì)算相關(guān)系統(tǒng)漏洞 3.1 概述 3.2 漏洞分析 3.2.1 Hypervisor漏洞 3.2.1.1 CVE-2018-16882 3.2.1.2 CVE-2017-17563 3.2.1.3 CVE-2010-1225 3.2.2 虛擬機(jī)漏洞 3.2.2.1 CVE-2019-14835 3.2.2.2 CVE-2019-5514 3.2.2.3 CVE-2013-5973 3.2.2.4 CVE-2003-1134 3.2.3 OpenStack漏洞 3.2.3.1 CVE-2020-9543
2024年04月11日
瀏覽(11)
程序漏洞：安全威脅的隱患
在當(dāng)今數(shù)字化時代，計(jì)算機(jī)程序是現(xiàn)代社會的核心基石。然而，隨著技術(shù)的進(jìn)步，程序漏洞也成為了一個不可忽視的問題。程序漏洞可能導(dǎo)致數(shù)據(jù)泄露、系統(tǒng)崩潰、惡意攻擊和經(jīng)濟(jì)損失等一系列問題。本文將深入探討程序漏洞的定義、分類、影響和預(yù)防措施。一、程序漏洞的
2024年02月13日
瀏覽(20)

<dl id="e9r2p"></dl>