SpringBoot Actuator未授权访问漏洞处理

漏洞预警】SpringBoot Actuator未授权访问

漏洞级别：高危

漏洞类型：未授权访问

说明:Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下，如果没有做好相关权限控制，非法用户可通过访问默认的执行器端点（endpoints）来获取应用系统中的监控信息,从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露

即使有spring security ,密码设置太简单,破解账号密码登陆后就可以,以网页的形式查看配置文件里的信息JOSN

单体服务:http://IP:port/actuator/env 

微服务:http://IP:port/服务配置名



检查方法：

1.检查 POM 清单中是否引用 actuator组件：

            org.springframework.boot
            spring-boot-starter-actuator


2.	检查application配置文件中是否开启actuator：
   management:
     endpoints:
       web:
         base-path: /actuator #配置端点访问前缀
         exposure:
           include: '*' #暴露所有端点

修复方法：

关闭actuator 
application配置文件中配置：
management:
  server:
    port: -1



goby 漏洞扫描软件