Spring Boot后端： Actuator未授权访问漏洞解决

---

前言

工作的时候遇到过提示Spring Boot后端存在Actuator未授权访问漏洞，网上有很多详细的解释文章，在这里做一个简单的总结、介绍和分享。

---

一、Actuator是什么？

Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块，借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计。

二、Actuator未授权访问漏洞是什么？

在 Actuator 启用的情况下，如果没有做好相关权限控制，非法用户可通过访问默认的执行器端点（endpoints）来获取应用系统中的监控信息，从而导致信息泄露甚至服务器被接管的事件发生。默认配置会出现接口未授权访问，部分接口会泄露网站流量信息和内存信息等，使用Jolokia库特性甚至可以远程执行任意代码，获取服务器权限。

三、Actuator未授权访问漏洞解决方案

1.禁用所有接口，将配置改成：

endpoints.enabled = false

2.引入

spring-boot-starter-security

依赖：

org.springframework.boot
spring-boot-starter-security

3.开启security功能，配置访问权限验证，类似配置如下：

management.port=8099
management.security.enabled=true
security.user.name=xxxxx
security.user.password=xxxxx

---

总结

本文是对网上的详细介绍文章的总结和摘取，大家如果想要了解详情可以参考以下链接。

本文部分内容来自: 未授权访问漏洞之Spring Boot Actuator