国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

<noscript id="gw5vl"><cite id="gw5vl"></cite></noscript>

<noscript id="gw5vl"></noscript>

spring boot未授權(quán)訪問及Swagger漏洞處理

2年前作者：雨打夏夜分類：Toy博客閱讀(26)違法舉報

這篇具有很好參考價值的文章主要介紹了spring boot未授權(quán)訪問及Swagger漏洞處理。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點擊"舉報違法"按鈕提交疑問。

無需修改源碼，處理spring boot未授權(quán)訪問及Swagger漏洞處理

漏洞說明

spring boot未授權(quán)訪問

風險程度:【高?！?br>漏洞概述：
未授權(quán)訪問可以理解為需要安全配置或權(quán)限認證的地址、授權(quán)頁面存在缺陷，導致其他用戶可以直接訪問，從而引發(fā)重要權(quán)限可被操作、數(shù)據(jù)庫、網(wǎng)站目錄等敏感信息泄露。登陸驗證一般的方式都是將用戶在登錄口輸入的賬號密碼拿去與數(shù)據(jù)庫中的記錄做驗證，并且要求輸入的賬號密碼要等于數(shù)據(jù)庫中某條記錄的賬號密碼，驗證通過則程序就會給用戶一個session，然后進入后臺，否則就返回到登陸口。然而攻擊者可以找到一些缺乏權(quán)限驗證的URL，直接繞過登錄執(zhí)行數(shù)據(jù)庫查詢，構(gòu)成未授權(quán)訪問。
漏洞危害：
攻擊者可繞過登錄驗證非法訪問資源，如后臺功能、敏感文件等。
整改建議：
建議增加漏洞頁面（接口）的訪問認證，防止未授權(quán)訪問直接瀏覽訪問或調(diào)用。
涉及的請求地址包括但不限于：

[http://ip:port/env/]
http://ip:port/mappings
http://ip:port/dump/

Swagger接口文檔泄露

風險程度:【高?！?br>漏洞概述：
Swagger生成的[API文檔]，是直接暴露在相關(guān)web路徑下的。所有人均可以訪問查看。通過這一點即可獲取項目上所有的接口信息。那么結(jié)合實際業(yè)務(wù)，例如如果有文件讀取相關(guān)的接口，可能存在任意文件下載，相關(guān)的業(yè)務(wù)訪問可能存在未授權(quán)訪問等。
漏洞危害：
業(yè)務(wù)敏感信息泄露后可能會對用戶帶來危害，系統(tǒng)敏感信息泄露可能會協(xié)助攻擊者提供更多的攻擊途徑和方法。
整改建議：
結(jié)合SpringSecurity/shiro進行認證授權(quán)，將Swagger-UI的URL加入到各自的認證和授權(quán)過濾鏈中，當用戶訪問Swagger對應的資源時，只有通過認證授權(quán)的用戶才能進行訪問。
涉及的請求地址包括但不限于：

[http://ip:port/swagger-ui.html#/cag45controller]
http://ip:port/v2/api-docs

漏洞處理

spring boot未授權(quán)訪問

官方給的整改建議，涉及修改代碼，不方便實施。若涉及到的請求地址非必須，則可以通過修改配置文件進行處理：

# 若原來的配置如下，則表明訪問時不需要認證，可直接訪問，此時刪除此配置即可。
management.security.enabled=false

上述方案親測有效。

從網(wǎng)上查找，有如下方案（此方案未親測），增加配置：

management.endpoints.web.exposure.exclude=env,heapdump,threaddump,mappings

或者是（未親測），增加配置：

# 完全禁用actuator
management.server.port=-1

Swagger接口文檔泄露

官方給的建議或網(wǎng)上其他帖子給的方案，都涉及修改代碼，在生產(chǎn)環(huán)境下，一旦涉及代碼修改，動作過大，又要重新測試、發(fā)布，太麻煩。
我采用的方案是通過nginx配置，過濾掉漏洞涉及的url，禁止方案，nginx中增加如下配置，親測有效：

server { 
    listen       8081; 
    server_name  127.0.0.1; 
		if ($request_uri ~* "/swagger-ui") {
			return 403;
		}
		if ($request_uri ~* "/api-docs") {
			return 403;
		}
    location / {
        proxy_pass  http://127.0.0.1:8080;
    }
}

注意，上述server_name，要換成自己系統(tǒng)的域名或服務(wù)器ip地址；listen和location重定向的ip、端口信息，要結(jié)合自己的實際情況修改。文章來源地址http://www.zghlxwxcb.cn/news/detail-562319.html

到了這里，關(guān)于spring boot未授權(quán)訪問及Swagger漏洞處理的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務(wù)，不擁有所有權(quán)，不承擔相關(guān)法律責任。如若轉(zhuǎn)載，請注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符，請點擊違法舉報進行投訴反饋，一經(jīng)查實，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費用

Spring boot 啟動添加訪問地址和swagger地址輸出
? ? ? ? ?在Spring boot 項目啟動后，輸出訪問地址和swagger地址，便于查看和對接。通過Environment去讀取配置的名稱，端口和路徑。啟動后，就可以看到輸出的內(nèi)容，可以直接訪問swagger就比較方便。
2024年01月23日
瀏覽(25)
Spring Boot Actuator未授權(quán)訪問漏洞
Spring Boot Actuator 端點的未授權(quán)訪問漏洞是一個安全性問題，可能會導致未經(jīng)授權(quán)的用戶訪問敏感的應用程序信息。可是并不用太過擔心，Spring Boot Actuator 默認暴漏的信息有限，一般情況下并不會暴露敏感數(shù)據(jù)。注冊中心有些功能集成了actuator，如果同時使用eureka和actuator，可
2024年02月13日
瀏覽(19)
如何解決 Spring Boot Actuator 的未授權(quán)訪問漏洞
Spring Boot Actuator ?的作用是提供了一組管理和監(jiān)控端點，允許你查看應用程序的運行時信息，例如健康狀態(tài)、應用程序信息、性能指標等。這些端點對于開發(fā)、測試 ?和運維團隊來說都非常有用，可以幫助快速診斷問題、監(jiān)控應用程序的性能，并采取必要的措施來維護和管理
2024年02月07日
瀏覽(30)
spring boot 集成 swagger3
? ????????Swagger 3是一種開源的API描述工具，它可以幫助開發(fā)人員設(shè)計、構(gòu)建、文檔化和測試API。Swagger 3支持多種編程語言和框架，包括Java、Node.js、Python、Ruby等，并提供了許多集成工具和插件，例如Postman、Apigee等。 Swagger 3使用OpenAPI規(guī)范來描述API，這是一種通用的API描述
2024年02月06日
瀏覽(24)
Spring Boot 整合 Swagger 教程詳解
?作者簡介：2022年博客新星第八。熱愛國學的Java后端開發(fā)者，修心和技術(shù)同步精進。 ??個人主頁：Java Fans的博客 ??個人信條：不遷怒，不貳過。小知識，大智慧。 ??當前專欄：SpringBoot 框架從入門到精通 ?特色專欄：國學周更-心性養(yǎng)成之路 ??本文內(nèi)容：Spring Boot 整
2023年04月14日
瀏覽(27)
Spring Boot 中如何使用 Swagger
在開發(fā) Web 應用時，API 文檔的編寫和維護是一項非常重要的工作。Swagger 是一款非常流行的 API 文檔工具，可以自動生成 API 文檔，并提供一系列的交互式工具，如測試界面、調(diào)試界面等，方便開發(fā)者進行 API 的調(diào)試和測試。本文將介紹如何在 Spring Boot 應用中使用 Swagger。首先
2024年02月11日
瀏覽(28)
Spring Boot 整合 Swagger2 糾錯
????????因為我要建立的是微服務(wù)的項目,需要建立許多模塊,以至于我在父工程中引入了當前模塊,然后我在子模塊中又引入了當前模塊,造成了沖突。 ????????另外一種解決方法是，經(jīng)過上網(wǎng)查證，可能由于Spring Boot和Swagger版本的問題，Spring Boot2.6以上的版本，需要使用
2024年02月12日
瀏覽(21)
swagger 2.10.5 整合 spring boot
2024年02月11日
瀏覽(20)
Spring Boot整合Spring Fox生成Swagger文檔
Springfox是一個用于在Spring應用程序中生成Swagger文檔的開源庫。它提供了一組注解和工具，可以將你的API代碼和文檔整合在一起，方便生成和展示API的Swagger文檔。使用Springfox，你可以在Spring Boot項目中集成Swagger，并通過Swagger UI查看和測試API。它提供了一些注解，如 @Api 、 @
2024年02月08日
瀏覽(17)
swagger關(guān)閉/v2/api-docs仍然可以訪問漏洞
今天接到安全團隊的說swagger有未授權(quán)訪問漏洞，即使在swagger關(guān)閉的情況下http://127.0.0.1:8086/agcloud/v2/api-docs?group=%E7%94%A8%E6%88%B7%E5%85%B3%E8%81%94%E4%BF%A1%E6%81%AF%E6%A8%A1%E5%9D%97仍然還能訪問。看了下原來是有寫一個攔截器斷點之后發(fā)現(xiàn)是有生效的，/swagger-ui.html不能再訪問，但是/v2/
2024年02月09日
瀏覽(12)

<mark id="1cu5e"><legend id="1cu5e"></legend></mark>

<ruby id="1cu5e"></ruby>