SpringBootloggers未授权访问漏洞处理

在编写系统的时候SpringBootloggers在未授权情况下可以访问是一个系统漏洞,我们可以通过加白名单或者直接关闭功能的方式处理。

1.添加白名单

添加SpringSecurity方法拦截,过滤用户拦截请求AuthorizeRequestsCustomizer

java 复制代码
package com.todod.basemanage.module.base.framework.security.config;

import com.todod.basemanage.framework.security.config.AuthorizeRequestsCustomizer;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configurers.AuthorizeHttpRequestsConfigurer;

/**
 * base 模块的 Security 配置
 */
@Configuration(proxyBeanMethods = false, value = "baseSecurityConfiguration")
public class SecurityConfiguration {

    @Value("${spring.boot.admin.context-path:''}")
    private String adminSeverContextPath;

    @Bean("baseAuthorizeRequestsCustomizer")
    public AuthorizeRequestsCustomizer authorizeRequestsCustomizer() {
        return new AuthorizeRequestsCustomizer() {

            @Override
            public void customize(AuthorizeHttpRequestsConfigurer<HttpSecurity>.AuthorizationManagerRequestMatcherRegistry registry) {
                // Swagger 接口文档
                registry.requestMatchers("/v3/api-docs/**").hasRole("ADMIN")
                        .requestMatchers("/webjars/**").hasRole("ADMIN")
                        .requestMatchers("/swagger-ui.html").hasRole("ADMIN")
                        .requestMatchers("/swagger-ui/**").hasRole("ADMIN");
                // Spring Boot Actuator 的安全配置
                registry.requestMatchers("/actuator").hasRole("ADMIN")
                        .requestMatchers("/actuator/**").hasRole("ADMIN");
                // Druid 监控
                registry.requestMatchers("/druid/**").hasRole("ADMIN");
                // Spring Boot Admin Server 的安全配置
                registry.requestMatchers(adminSeverContextPath).hasRole("ADMIN")
                        .requestMatchers(adminSeverContextPath + "/**").hasRole("ADMIN");
                // 文件读取
                registry.requestMatchers(buildAdminApi("/base/file/*/get/**")).hasRole("ADMIN");
            }

        };
    }

}

在yaml文件里配置用户角色权限:

XML 复制代码
spring:
  security:
    user:
      name: admin
      password: admin
      roles: ADMIN

测试一下就看看是否还可以访问,正常情况下是无法访问了

2.直接关闭端口(暴力解法)

在yaml文件中修改以下配置

XML 复制代码
# Actuator 监控端点的配置项
management:
  endpoints:
    web:
      base-path: /actuator # Actuator 提供的 API 接口的根目录。默认为 /actuator
      exposure:
        include: '*' # 需要开放的端点。默认值只打开 health 和 info 两个端点。通过设置 * ,可以开放所有端点。

星号:'*'代表开放所有端点,我们只需要把*改成[]即可,代表空即无法访问,代码如下:

复制代码
# Actuator 监控端点的配置项
management:
  endpoints:
    web:
      base-path: /actuator # Actuator 提供的 API 接口的根目录。默认为 /actuator
      exposure:
        include: [] # 需要开放的端点。默认值只打开 health 和 info 两个端点。通过设置 * ,可以开放所有端点。
相关推荐
扫地的小何尚12 小时前
NVIDIA Dynamo深度解析:如何优雅地解决LLM推理中的KV缓存瓶颈
开发语言·人工智能·深度学习·机器学习·缓存·llm·nvidia
野犬寒鸦12 小时前
多级缓存架构:性能与数据一致性的平衡处理(原理及优势详解+项目实战)
java·服务器·redis·后端·缓存
yi碗汤园13 小时前
【一文了解】C#的StringSplitOptions枚举
开发语言·前端·c#
帧栈15 小时前
开发避坑指南(58):Java Stream 按List元素属性分组实战指南
java
无敌最俊朗@15 小时前
C++ 序列容器深度解析:vector、deque 与 list
开发语言·数据结构·数据库·c++·qt·list
Da Da 泓15 小时前
LinkedList模拟实现
java·开发语言·数据结构·学习·算法
海琴烟Sunshine15 小时前
Leetcode 14. 最长公共前缀
java·服务器·leetcode
城管不管15 小时前
Lambda
java
Humbunklung15 小时前
VC++ 使用OpenSSL创建RSA密钥PEM文件
开发语言·c++·openssl
Humbunklung15 小时前
填坑:VC++ 采用OpenSSL 3.0接口方式生成RSA密钥
开发语言·c++·rsa·openssl 3.0