【高危】Spring Boot Actuator未授权访问
一个SpringBoot的项目,采用了若依的框架,不知道是框架自带的还是有人单独加的,项目里用到了。(以下简称SBA)主要用于Spring Boot应用的健康检查,配合K8S可用于服务部署,切换流量,监控报警等场景。但是就我的理解,这个项目是一个比较简单的项目,应该是用不到Spring Boot Actuator的然后,被检测出来,有漏洞了。。。
项目场景:
一个SpringBoot的项目,采用了若依的框架,不知道是框架自带的还是有人单独加的,项目里用到了Spring Boot Actuator。
Spring Boot Actuator(以下简称SBA)主要用于Spring Boot应用的健康检查,配合K8S可用于服务部署,切换流量,监控报警等场景。
但是就我的理解,这个项目是一个比较简单的项目,应该是用不到Spring Boot Actuator的
然后,被检测出来,有漏洞了。。。
问题描述
Actuator是Spring Boot提供的对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。如果使用不当或者一些不经意的疏忽,可能造成信息泄露等严重的安全隐患。
当开放env或jolokia接口时,在特定的配置下可能会导致远程代码执行漏洞。
测试人员访问网址:项目ip:项目端口/actuator/health
展示数据:{“status”:“UP”}
原因分析:
Endpoints
可以把Endpoints理解为一个功能模块,功能模块可以监控Spring Boot应用,甚至可以与Spring Boot进行交互(比如读取信息,关闭应用等操作)。Spring Boot内置了很多Endpoints,对我们来讲最重要的Endpoints是health,即健康检查模块。
除health外,常用的Endpoints还包括:
(1) env,用于输出环境变量;
(2) beans,用于显示应用中所有的bean对象;
(3) info,可以配置一些自定义信息。
默认情况下,除shutdown以外,所有的Endpoints均是enable状态。
会导致一些服务器信息被暴露,所以是高危漏洞
解决方案:
实际使用的方案:在application.properties中配置禁用全部Endpoints
management:
endpoints:
enabled-by-default: false
下边是搜索到的其他解决方案(注意:来源于网络,我没有实际测试)
1.禁用某些endpoints
management.endpoint.<name>.enabled=true
例如:
management.endpoint.info.enabled=true
2.默认情况下,只有health和info两个Endpoints暴露在web环境下,可通过url访问,如果想暴露其他Endpoints,可配置
management.endpoints.web.exposure.include=health,info,env
3.全部暴露可配置成*
management.endpoints.web.exposure.include=*
4.引入 spring-boot-starter-security 依赖,为 actuator 的 endpoint 配置访问控制(漏洞报告里推荐的也是这种方式)
更多推荐
所有评论(0)