在Spring Boot Actuator 中,某些端点可能会处理来自客户端的序列化数据。如果这些数据没有被正确地验证和清理,就可能存在反序列化漏洞。例如,如果攻击者能够向 /env 端点发送恶意的序列化数据,并触发反序列化过程,就可能执行任意代码。 4. 防范措施 为了防范 Spring Boot Actuator 中的反序列化漏洞,可以采取以下措施...
tips:spring-boot-starter-actuator 在不同版本 Spring Boot 中有一定的配置差异,本文采用的是目前最新的 2.4.4 版本 复制 <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-actuator</artifactId><version>2.4.4</version></dependency> 1. 2. 3. 4. 5. 第二步 了...
入参中的event就是ApplicationStartingEvent,sourceType是org.springframework.boot.SpringApplication类。ListenerRetriever类型本人将其视作是一个保存监听器的容器。 可以看出,程序首先在缓存里面寻找ListenerRetriever类型的retriever,如果没有找到,加锁再从缓存里面找一次。这里我们缓存里是没有内容的,所以都不会返回。 接...
另外也可以引入spring-boot-starter-security依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 在application.properties中开启security功能,配置访问权限验证,这时再访问actuator功...
1、Spring Boot 配置错误:不安全的 Actuator Spring Boot Actuator 是针对 Spring Boot 应用监控和管理而建立的一个模块,用于对 Spring Boot 应用的健康检查、审计、收集应用的运行状况和 HTTP 追踪等。Spring Boot Actuator 中包含了许多内置端点用于显示应用程序的监控信息,当 Spring Boot Actuator 配置不当时,攻击者...
背景:项目中引入了 spring-boot-starter-actuator 健康检测模块 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-actuator</artifactId> </dependency> 回到顶部(Back to Top) 1 问题描述 确认微服务刚启动后,因K8S集群周期性定时(默认每隔10s)健康检查微服务,导致报如...
Actuator 默认提供了以下接口,具体如下表所示: 安全措施 如果上述请求接口不做任何安全限制,安全隐患显而易见。实际上Spring Boot也提供了安全限制功能。比如要禁用/env接口,则可设置如下: endpoint: env: enabled: false 1. 2. 3. 另外也可以引入spring-boot-starter-security依赖 ...
Actuator 默认提供了以下接口,具体如下表所示: 安全措施 如果上述请求接口不做任何安全限制,安全隐患显而易见。实际上Spring Boot也提供了安全限制功能。比如要禁用/env接口,则可设置如下: endpoint: env: enabled:false 另外也可以引入spring-boot-starter-security依赖,具体可以看文末的参考链接,我只操作了发的这一...
引入spring-boot-starter-security依赖,为 actuator 的 endpoint 配置访问控制。 慎重评估是否需要引入spring-boot-stater-actuator。以我个人的经验,我至今还没有遇到什么需求是一定需要引入spring-boot-stater-actuator才能解决,如果你并不了解上文所述的安全风险,我建议你先去除掉该依赖。
如果使用不当或者一些不经意的疏忽,可能造成信息泄露等严重的安全隐患。 Actuator使用 Actuator应用监控使用只需要添加spring-boot-starter-actuator依赖即可,如下: org.springframework.boot spring-boot-starter-actuator 可以在application.properties中指定actuator的访问端口、访问路径等信息: ...