Spring Boot Actuator敏感信息泄露漏洞

简介

Spring Boot Actuator 提供生产级别的功能,比如监控、追踪、控制,审计,指标收集等,帮助监控和管理Spring Boot 应用。

Spring Boot Actuator敏感信息泄露漏洞,比如访问URL: http://xx.xx.xx.xx/actuator/env ,可获取到环境配置信息。

解决方案:

1、增加账号密码访问,在application.properties中指定actuator的端口以及开启security功能,配置访问权限验证,这时再访问actuator功能时就会弹出登录窗口,需要输入账号密码验证后才允许访问。

2、禁用接口

management:
  endpoint:
    health:
      show-details: ALWAYS
  endpoints:
    enabled-by-default: false #关闭

你可能感兴趣的:(spring,boot,java,后端)