【高危】Spring Boot Actuator未授权访问

项目场景：

一个SpringBoot的项目,采用了若依的框架，不知道是框架自带的还是有人单独加的，项目里用到了Spring Boot Actuator。

Spring Boot Actuator（以下简称SBA）主要用于Spring Boot应用的健康检查，配合K8S可用于服务部署，切换流量，监控报警等场景。

但是就我的理解，这个项目是一个比较简单的项目，应该是用不到Spring Boot Actuator的

然后，被检测出来，有漏洞了。。。

---

问题描述

Actuator是Spring Boot提供的对应用系统的监控和管理的集成功能，可以查看应用配置的详细信息，例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。如果使用不当或者一些不经意的疏忽，可能造成信息泄露等严重的安全隐患。
当开放env或jolokia接口时，在特定的配置下可能会导致远程代码执行漏洞。

测试人员访问网址：项目ip:项目端口/actuator/health
展示数据：{“status”:“UP”}

---

原因分析：

Endpoints

可以把Endpoints理解为一个功能模块，功能模块可以监控Spring Boot应用，甚至可以与Spring Boot进行交互（比如读取信息，关闭应用等操作）。Spring Boot内置了很多Endpoints，对我们来讲最重要的Endpoints是health，即健康检查