SpringBootloggers未授权访问漏洞处理

在编写系统的时候SpringBootloggers在未授权情况下可以访问是一个系统漏洞,我们可以通过加白名单或者直接关闭功能的方式处理。

1.添加白名单

添加SpringSecurity方法拦截,过滤用户拦截请求AuthorizeRequestsCustomizer

java 复制代码
package com.todod.basemanage.module.base.framework.security.config;

import com.todod.basemanage.framework.security.config.AuthorizeRequestsCustomizer;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.AuthorizeHttpRequestsConfigurer;

/**
 * base 模块的 Security 配置
 */
@Configuration(proxyBeanMethods = false, value = "baseSecurityConfiguration")
public class SecurityConfiguration {

    @Value("${spring.boot.admin.context-path:''}")
    private String adminSeverContextPath;

    @Bean("baseAuthorizeRequestsCustomizer")
    public AuthorizeRequestsCustomizer authorizeRequestsCustomizer() {
        return new AuthorizeRequestsCustomizer() {

            @Override
            public void customize(AuthorizeHttpRequestsConfigurer<HttpSecurity>.AuthorizationManagerRequestMatcherRegistry registry) {
                // Swagger 接口文档
                registry.requestMatchers("/v3/api-docs/**").hasRole("ADMIN")
                        .requestMatchers("/webjars/**").hasRole("ADMIN")
                        .requestMatchers("/swagger-ui.html").hasRole("ADMIN")
                        .requestMatchers("/swagger-ui/**").hasRole("ADMIN");
                // Spring Boot Actuator 的安全配置
                registry.requestMatchers("/actuator").hasRole("ADMIN")
                        .requestMatchers("/actuator/**").hasRole("ADMIN");
                // Druid 监控
                registry.requestMatchers("/druid/**").hasRole("ADMIN");
                // Spring Boot Admin Server 的安全配置
                registry.requestMatchers(adminSeverContextPath).hasRole("ADMIN")
                        .requestMatchers(adminSeverContextPath + "/**").hasRole("ADMIN");
                // 文件读取
                registry.requestMatchers(buildAdminApi("/base/file/*/get/**")).hasRole("ADMIN");
            }

        };
    }

}

在yaml文件里配置用户角色权限:

XML 复制代码
spring:
  security:
    user:
      name: admin
      password: admin
      roles: ADMIN

测试一下就看看是否还可以访问,正常情况下是无法访问了

2.直接关闭端口(暴力解法)

在yaml文件中修改以下配置

XML 复制代码
# Actuator 监控端点的配置项
management:
  endpoints:
    web:
      base-path: /actuator # Actuator 提供的 API 接口的根目录。默认为 /actuator
      exposure:
        include: '*' # 需要开放的端点。默认值只打开 health 和 info 两个端点。通过设置 * ,可以开放所有端点。

星号:'*'代表开放所有端点,我们只需要把*改成\[\]即可,代表空即无法访问,代码如下:

复制代码
# Actuator 监控端点的配置项
management:
  endpoints:
    web:
      base-path: /actuator # Actuator 提供的 API 接口的根目录。默认为 /actuator
      exposure:
        include: [] # 需要开放的端点。默认值只打开 health 和 info 两个端点。通过设置 * ,可以开放所有端点。
相关推荐
小蓝波11 小时前
docker 的命令
java·docker·容器
2zcode11 小时前
基于MATLAB图像处理的饮料瓶识别与价格显示系统设计与实现
开发语言·图像处理·matlab
AI人工智能+电脑小能手12 小时前
【大白话说Java面试题 第155题】【06_Spring篇】第15题:Spring 如何解决循环依赖问题?
java·spring·循环依赖·三级缓存·aop代理
骑士雄师12 小时前
大模型:临时会话
开发语言·python
唐青枫12 小时前
Java Maven 实战指南:从 POM、依赖管理到多模块构建
java
硕风和炜12 小时前
【LeetCode: 1301. 最大得分的路径数目 + DP】
java·算法·leetcode·动态规划·dp·记忆化搜索
SamDeepThinking12 小时前
面向对象真正管理的,不是对象,而是依赖
java·后端·程序员
努力中的编程者13 小时前
STL-vector的模拟实现
开发语言·c++·算法·stl·vector
薛定猫AI13 小时前
【深度解析】GLM-5.2 与 Z-Code:AI 编程智能体的原理拆解与 Python 调用实战
开发语言·人工智能·python
没文化的阿浩13 小时前
【C++】详解继承机制
开发语言·c++