1.寫(xiě)在前面

目前SpringBoot得框架，越來(lái)越廣泛，大多數(shù)中小型企業(yè)，在開(kāi)發(fā)新項(xiàng)目得時(shí)候。后端語(yǔ)言使用java得情況下，首選都會(huì)使用到SpringBoot。

在很多得一些開(kāi)源得框架中，例如: ruoyi若以，這些。

不知道是出于什么原因？我們都會(huì)在這些框架中得pom文件中找到SpringBoot Actuator的依賴。

嘿，這Actuator估計(jì)很多人都沒(méi)有真真實(shí)實(shí)使用過(guò)，但是就會(huì)出現(xiàn)在pom文件中；這樣導(dǎo)致，在做一些安全漏洞測(cè)試的時(shí)候，會(huì)出現(xiàn)漏洞問(wèn)題。

例如下面：

對(duì)于這些漏洞，我們開(kāi)始修復(fù)嘍?。?！

2.問(wèn)題描述

Actuator是Springboot提供的用來(lái)對(duì)應(yīng)用系統(tǒng)進(jìn)行自省和監(jiān)控的功能模塊，借助于Actuator開(kāi)發(fā)者可以很方便地對(duì)應(yīng)用系統(tǒng)某些監(jiān)控指標(biāo)進(jìn)行查看、統(tǒng)計(jì)等。

Actuator 的核心是端點(diǎn) Endpoint，它用來(lái)監(jiān)視應(yīng)用程序及交互，spring-boot-actuator 中已經(jīng)內(nèi)置了非常多的Endpoint（health、info、beans、metrics、httptrace、shutdown等等），同時(shí)也允許我們自己擴(kuò)展自己的Endpoints。

每個(gè) Endpoint 都可以啟用和禁用。要遠(yuǎn)程訪問(wèn) Endpoint，還必須通過(guò) JMX 或 HTTP 進(jìn)行暴露，大部分應(yīng)用選擇HTTP。

好了，Actuator看起來(lái)還是挺好的，可以用來(lái)監(jiān)控。不過(guò)大部分企業(yè)，估計(jì)都沒(méi)咋用過(guò)，也就享受不到Actuator的好處了。

Actuator在帶來(lái)方便的同時(shí)，如果沒(méi)有管理好，會(huì)導(dǎo)致一些敏感的信息泄露；可能會(huì)導(dǎo)致我們的服務(wù)器，被暴露到外網(wǎng)，服務(wù)器可能會(huì)淪陷。那我們來(lái)看一下，會(huì)出現(xiàn)什么安全的問(wèn)題？

3.安全問(wèn)題

例如，我們可以訪問(wèn)：

http://localhost:7200/actuator/env

看到上面的信息了嗎？哇，我們居然能看到數(shù)據(jù)庫(kù)連接地址，賬號(hào)密碼等信息。

這些地址如果不加以控制，對(duì)于一些有技術(shù)基礎(chǔ)的人員來(lái)說(shuō)，這不得是一個(gè)很?chē)?yán)重的漏洞？估計(jì)是t0級(jí)別的漏洞了。

對(duì)于這些，我們要如何進(jìn)行控制呢？

4.禁止方法

在 llsydn-dev.properties 增加配置如下

management.endpoints.web.exposure.exclude=env,heapdump,threaddump,mappings

這樣 env 就被禁止訪問(wèn)了。

然后我們?cè)賮?lái)訪問(wèn)一下比如：

好了，可以看到訪問(wèn)就出現(xiàn)404了，表示已經(jīng)禁了。

5.完全禁用Actuator

對(duì)于上面的修改，其實(shí)已經(jīng)可以實(shí)現(xiàn)禁止了env的方法，也就基本上都能控制到相應(yīng)的接口信息，基本上也能做到了安全。

但是在做等保安全漏洞掃描的時(shí)候，還是會(huì)掃出來(lái)響應(yīng)的漏洞，那其實(shí)，還是沒(méi)有解決掉這個(gè)漏洞。那我們能不能完全禁止Actuator呢？

答案，肯定是可以的?。?！

例如下面這個(gè)配置：

# 完全禁用actuator
management.server.port=-1

這樣配，等保做安全漏洞掃描，就不會(huì)掃描出該漏洞了?。?！

嘿，再也不用擔(dān)心Actuator漏洞問(wèn)題?。?！

以上就是SpringBoot Actuator未授權(quán)訪問(wèn)漏洞修復(fù)詳解的詳細(xì)內(nèi)容，更多關(guān)于SpringBoot Actuator 漏洞修復(fù)的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！