Java中SpringBoot中Actuator漏洞修复

Java中SpringBoot中Actuator漏洞修复

风险分析:

风险分析：
Actuator 是 Spring Boot 提供的服务监控和管理中间件。当 Spring Boot 应用程序运行时，它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置，就有可能导致一些系统信息泄露、XXE、甚至是 RCE 等安全问题。
测试过程:  访问 http://localhost:9010/actuator
会暴露敏感数据,禁用/env,/actuator;使其访问直接报错404

#Spring Actuator监控
management:
  #完全禁用Actuator
  server:
    port: -1
  endpoints:
    #关闭Actuator
    enabled-by-default: false
    web:
      exposure:
        #公开 health、info、beans、mappings四个Actuator端点
        #include: health,info,beans,mappings
        #不允许所有访问
        exclude: "*"