关于spring-boot-starter-actuator的漏洞,主要涉及信息泄露和潜在的反序列化漏洞。下面我将从多个方面详细分析这些漏洞,并提供相应的防范措施和建议。 1. 信息泄露漏洞 漏洞描述 Spring Boot Actuator 提供了一系列用于监控和管理 Spring Boot 应用程序的端点(Endpoints)。如果这些端点被不当配置或未设置访问控制,攻击者...
Spring Boot使开发更加简单和高效,因此也得到了广泛的应用,这也导致了漏洞影响面的扩大,Spring Boot漏洞可造成以下危害: 1、未授权的访问者可以通过Actuator端点获取敏感信息,如数据库账户密码,代码及后台账号密码,攻击者可利用泄露信息进行进一步利用,并进行更深入的攻击。. 2、攻击者可以通过Actuator端点的未授权访问,...
可以POST请求目标网站的/refresh接口刷新配置(存在spring-boot-starter-actuator依赖) 目标使用了spring-cloud-starter-netflix-eureka-client依赖 目标可以请求攻击者的服务器(请求可出外网) 这里需要注意的是,添加了spring-cloud-starter-netflix-eureka-client依赖后,启动项目可能会报一个如下错误:移除...
使用Actuator可以更好的监控、管理和维护Spring Boot应用程序。 其中以下是它端点: 环境搭建 SpringBoot Actuator未授权访问漏洞分为1.x版本和2.x版本。 srpingboot 2.x 下载demo代码 git clone https://github.com/callicoder/spring-boot-actuator-demo.git maven将项目代码构建成jar包。 mvn package 启动Spring ...
为endpoint 配置独立的访问端口,从而和 web 服务的端口分离开,避免暴露 web 服务时,误将 actuator 的 endpoint 也暴露出去。例:management.port=8099 引入spring-boot-starter-security 依赖,为 actuator 的 endpoint 配置访问控制 慎重评估是否需要引入 spring-boot-stater-actuator...
Ps: 如果您很幸运在目标类路径中具有Eureka-Client <1.8.7(通常包含在Spring Cloud Netflix中),则可以利用其中的XStream反序列化漏洞。 例如: User-Agent: Java-EurekaClient/v1.4.11 二、SpringBoot_Actuator JNDI RCE 1. 环境搭建 git clone https://github.com/veracode-research/actuator-testbed ...
Ps: 一般情况需要等待3秒会有响应包,如果立即返回可能是服务缺少spring-boot-starter-actuator扩展包无法刷新漏洞则无法利用 1POST /refresh HTTP/1.1 2Host: 10.20.24.191:8090 3User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:52.0) Gecko/20100101 Firefox/52.0 ...
另外也可以引入spring-boot-starter-security依赖,具体可以看文末的参考链接,我只操作了发的这一步,将env禁用了 安全建议 只开放某些无敏感信息的端点。 打开安全限制并进行身份验证,访问Actuator接口时需要登录。 Actuator访问接口使用独立端口,并配置不对外网开放。
Spring Boot的服务监控 Spring Boot Actuator Spring Boot开发之初已经充分考虑服务监控需求,提供了spring-boot-starter-actuator监控模块,在项目用依赖该模块就可以开启相应的监控endpoit。 常用的endpoit包括以下: 具体可参考官方文档。 Spring Boot Admin