国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

Springboot Actuator未授權(quán)訪問漏洞

2年前作者:lanren312分類:Toy博客閱讀(19)違法舉報

這篇具有很好參考價值的文章主要介紹了Springboot Actuator未授權(quán)訪問漏洞。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

參考博客: https://blog.csdn.net/m0_57042151/article/details/126719041

漏洞概述:

Actuator 是 Springboot 提供的用來對應(yīng)用系統(tǒng)進行 自省和監(jiān)控的功能模塊,借助于 Actuator ,開發(fā)者可以很方便地對應(yīng)用系統(tǒng)的某些監(jiān)控指標(biāo)進行查 看、統(tǒng)計等。在 Actuator 啟用的情況下,如果沒有做好相關(guān)權(quán)限控制,非法用戶可通過訪問默認(rèn)的執(zhí)行器端點( endpoints )來獲取應(yīng)用系統(tǒng)中的監(jiān)控信息。

在瀏覽器中輸入? ip:port/actuator/env 非法用戶可通過訪問默認(rèn)的執(zhí)行器端點( endpoints )來獲取應(yīng)用系統(tǒng)中的監(jiān)控信息。

修改yml配置

方法一:

management:
  endpoints:
    web:
      exposure:
         exclude: env,heapdump,threaddump,mappings

方法二:完全禁用Actuator

management:
  server:
    port: -1

再去訪問,頁面就顯示空白。

方法三:關(guān)閉Actuator監(jiān)控

management:
  endpoints:
    enabled-by-default: false

另外補充druid組件漏洞

參考博客: https://blog.csdn.net/m0_73557631/article/details/132426357

https://blog.csdn.net/java_collect/article/details/83660809?

關(guān)閉連接池監(jiān)控文章來源地址http://www.zghlxwxcb.cn/news/detail-650400.html

spring:
  datasource:
    druid:
      stat-view-servlet:
        enabled: false

到了這里,關(guān)于Springboot Actuator未授權(quán)訪問漏洞的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進行投訴反饋,一經(jīng)查實,立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費用

相關(guān)文章

  • springboot未授權(quán)漏洞(漏洞復(fù)現(xiàn)Springboot未授權(quán)訪問及修復(fù))

    Actuator 的核心是端點 Endpoint,它用來監(jiān)視應(yīng)用程序及交互,spring-boot-actuator 中已經(jīng)內(nèi)置了非常多的Endpoint(health、info、beans、metrics、httptrace、shutdown等等),同時也允許我們自己擴展自己的Endpoints。每個 Endpoint 都可以啟用和禁用。要遠程訪問 Endpoint,還必須通過 JMX 或 HTTP 進

    2024年02月05日
    瀏覽(27)
  • 漏洞復(fù)現(xiàn) - - - Springboot未授權(quán)訪問

    漏洞復(fù)現(xiàn) - - - Springboot未授權(quán)訪問

    目錄 一, 未授權(quán)訪問是什么? 二,Actuator介紹 三,怎么進行漏洞發(fā)現(xiàn)呢? 四,實驗環(huán)境 五,漏洞復(fù)現(xiàn) 1.通過訪問env獲取全部環(huán)境屬性 2.通過/trace提供基本的http請求跟蹤信息 3.利用反序列化進行g(shù)etshell ?1.啟動腳本 2.開啟監(jiān)聽 ?3.使用bp抓取一個/env的包 4.修改POST數(shù)據(jù) 未授權(quán)

    2024年01月20日
    瀏覽(18)

  • 【漏洞】【Druid】Druid未授權(quán)訪問漏洞,修復(fù)方案。springboot

    漏洞描述: Druid是阿里巴巴數(shù)據(jù)庫出品的,為監(jiān)控而生的數(shù)據(jù)庫連接池,并且Druid提供的監(jiān)控功能,監(jiān)控SQL的執(zhí)行時間、監(jiān)控Web URI的請求、Session監(jiān)控,首先Druid是不存在什么漏洞的。但當(dāng)開發(fā)者配置不當(dāng)時就可能造成未授權(quán)訪問。 解決建議: 修改中間件配置 給出的例子,

    2024年02月11日
    瀏覽(30)
  • spring boot actuator 未授權(quán)訪問(env泄露redis密碼)

    spring boot actuator 未授權(quán)訪問(env泄露redis密碼)

    Actuator Actuator是Spring Boot提供的服務(wù)監(jiān)控和管理中間件,默認(rèn)配置會出現(xiàn)接口未授權(quán)訪問,部分接口會泄露網(wǎng)站流量信息和內(nèi)存信息等,使用Jolokia庫特性甚至可以遠程執(zhí)行任意代碼,獲取服務(wù)器權(quán)限。 滲透過程 訪問瀏覽器訪問actuator 訪問env獲取到敏感信息redis服務(wù)器地址以及

    2024年02月11日
    瀏覽(22)
  • 在SpringBoot中通過配置Swagger權(quán)限解決Swagger未授權(quán)訪問漏洞

    在SpringBoot中通過配置Swagger權(quán)限解決Swagger未授權(quán)訪問漏洞

    博主 默語帶您 Go to New World. ? 個人主頁—— 默語 的博客???? 《java 面試題大全》 ??惟余輩才疏學(xué)淺,臨摹之作或有不妥之處,還請讀者海涵指正。??? 《MYSQL從入門到精通》數(shù)據(jù)庫是開發(fā)者必會基礎(chǔ)之一~ ?? 吾期望此文有資助于爾,即使粗淺難及深廣,亦備添少許微薄

    2024年04月23日
    瀏覽(24)

  • 【解決問題】在SpringBoot中通過配置Swagger權(quán)限解決Swagger未授權(quán)訪問漏洞

    Swagger是一個規(guī)范和完整的框架,用于生成、描述、調(diào)用和可視化 RESTful 風(fēng)格的 Web 服務(wù)。其中,Swagger-UI會根據(jù)開發(fā)人員在代碼中的設(shè)置來自動生成API說明文檔。若存在相關(guān)的配置缺陷,攻擊者可以在未授權(quán)的狀態(tài)下,翻查Swagger接口文檔,得到系統(tǒng)功能API接口的詳細參數(shù),再

    2024年02月02日
    瀏覽(21)
  • Springboot之Actuator的滲透測試和漏洞修復(fù)

    Springboot之Actuator的滲透測試和漏洞修復(fù)

    Actuator 的 REST 接口 Actuator監(jiān)控分成兩類:原生端點和用戶自定義端點;自定義端點主要是指擴展性,用戶可以根據(jù)自己的實際應(yīng)用,定義一些比較關(guān)心的指標(biāo),在運行期進行監(jiān)控。 原生端點是在應(yīng)用程序里提供眾多 Web 接口,通過它們了解應(yīng)用程序運行時的內(nèi)部狀況。原生端

    2024年02月03日
    瀏覽(18)
  • spring 微服務(wù)nacos未授權(quán)訪問漏洞修復(fù)

    spring 微服務(wù)nacos未授權(quán)訪問漏洞修復(fù)

    近來,公司系統(tǒng)做安全滲透又被掃描出了nacos漏洞問題。報告已對漏洞進行了說明: Nacos是一個為動態(tài)服務(wù)發(fā)現(xiàn)和配置以及服務(wù)管理而設(shè)計的平臺。Nacos如果沒有配置認(rèn)證管理,攻擊者可以在無需授權(quán)的情況下獲取敏感信息。 公司系統(tǒng)使用版本為2.0.3。不支持進行認(rèn)證管理,所

    2024年02月10日
    瀏覽(20)

  • spring boot未授權(quán)訪問及Swagger漏洞處理

    無需修改源碼,處理spring boot未授權(quán)訪問及Swagger漏洞處理 風(fēng)險程度 :【高危】 漏洞概述 : 未授權(quán)訪問可以理解為需要安全配置或權(quán)限認(rèn)證的地址、授權(quán)頁面存在缺陷,導(dǎo)致其他用戶可以直接訪問,從而引發(fā)重要權(quán)限可被操作、數(shù)據(jù)庫、網(wǎng)站目錄等敏感信息泄露。登陸驗證一

    2024年02月16日
    瀏覽(26)
  • Java配置47-Spring Eureka 未授權(quán)訪問漏洞修復(fù)

    Java配置47-Spring Eureka 未授權(quán)訪問漏洞修復(fù)

    項目組使用的 Spring Boot 比較老,是 1.5.4.RELEASE 。最近被檢測出 Spring Eureka 未授權(quán)訪問漏洞。 現(xiàn)狀是瀏覽器直接訪問 Eureka Server 可以直接進去,看到已經(jīng)注冊的服務(wù)信息。 2.1 Eureka Server 添加安全組件 Eureka Server 添加 pom 依賴: 2.2 Eureka Server 添加參數(shù) 2.3 重啟 Eureka Server 重啟

    2024年02月05日
    瀏覽(26)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包