Spring Boot Actuator信息泄漏漏洞详解 一、什么是Spring Boot Actuator Spring Boot Actuator是Spring Boot提供的一个用于对应用系统进行自省(introspection)和监控的功能模块。它提供了项目健康检查、审计、指标收集、HTTP跟踪等能力,帮助开发者或运维人员监控和管理Spring Boot应用。通过Actuator,可以方便地查看应用的内部信...
此时,运行示例,访问/monitor/即可查看所有端点信息,再访问/monitor/env即可查看该应用全部环境属性,如图: Endpoints(端点)介绍 Endpoints 是 Actuator 的核心部分,它用来监视应用程序及交互,spring-boot-actuator中已经内置了非常多的Endpoints(health、info、beans、httptrace、shutdown等等),同时也允许我们扩展自己的端点。
/actuator/env # 公开Spring的ConfigurableEnvironment /actuator/health # 显示应用程序运行状况信息 /actuator/httptrace # 显示HTTP跟踪信息 /actuator/metrics # 显示当前应用程序的监控指标信息。 /actuator/mappings # 显示所有@RequestMapping路径的整理列表 /actuator/threaddump # 线程转储 /actuator/heapdump#堆转储...
SpringBoot 1.x 和 2.x 的 Actuator模块设置有差别, 访问功能的路径也有差别,但现在多使用的SpringBoot版本为2.x,这篇文章只讲SpringBoo 2.x Actuator模块带来的信息泄露。 1. 2. 3. 4. 5. 6. 漏洞自查 在浏览器中范围于http://192.168.0.119:81/dev-api/actuator(http://IP:端口/actuator),如下图...
使用安全工具:利用安全扫描工具定期对应用程序进行安全扫描,发现潜在的安全漏洞并进行修复。 代码审查和测试:在代码审查和测试阶段,特别关注与Actuator相关的部分,确保没有未授权访问的风险。 使用版本控制:对于敏感信息和配置文件,建议使用版本控制进行管理,避免直接暴露在代码中。 及时响应安全事件:一旦发现安全事件或潜在...
Actuator 简介 如上所言,actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块。其提供的执行器端点分为两类:原生端点和用户自定义扩展端点,原生端点主要有: 漏洞利用 通过如上步骤,如果你发现了 actuator 的配置不当漏洞,那就要恭喜你啦。不过,尽管这些监控信息的泄露已经足够高危了,有时候碰到一些...
在Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息 本文着重于介绍在开启Actuator情况下,且服务有接入Prometheus、k8s健康检查情况下配置的实践 一、springboot 2.0 示例修改如下 management:endpoint:env:keys-to-sanitize:nonhealth:show-details...
【实例讲解】SpringBoot Actuator RCE 漏洞总结 网安教育 培养网络安全人才 技术交流、学习咨询 SpringBoot env 获取* 敏感信息 当我们直接访问 springboot 站点时,可以看到某些 password 字段填充了* 1通过${name}可以获取明文字段 2配置不当导致敏感信息泄露(password 打星号,而pwd没有打星号)...
嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件中;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。 例如下面: 2.问题描述 Actuator是Springboot提供的用来对应用系统进行自省和监控的功能模块,借助于Actuator开发者可以很方便地对应用系统某些监控指标进行查看、统计等。