SpringbootActuator未授权访问漏洞

漏洞介绍

Actuator 是 SpringBoot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。然而,其默认配置会出现接口未授权访问,导致部分接口会泄露网站数据库连接信息等配置信息,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。

1、漏洞危害

1、信息泄露:未授权的访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。

2、系统破坏:攻击者可以通过Actuator端点的未授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。

3、命令执行:当系统使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。

3 端点描述:

2、端点描述

官方文档对每个端点的功能进行了描述。

路径 描述

路径

描述

漏洞利用点

/autoconfig

提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过

/beans

描述应用程序上下文里全部的Bean,以及它们的关系

/env

获取全部环境属性

/configprops

描述配置属性(包含默认值)如何注入Bean

/dump

获取线程活动的快照

/health

报告应用程序的健康指标,这些值由HealthIndicator的实现类提供

/info

获取应用程序的定制信息,这些信息由info打头的属性提供

/mappings

描述全部的URI路径,以及它们和控制器(包含Actuator端点)的映射关系

/metrics

报告各种应用程序度量信息,比如内存用量和HTTP请求计数

/shutdown

关闭应用程序,要求endpoints.shutdown.enabled设置为true

/trace

提供基本的HTTP请求跟踪信息(时间戳、HTTP头等)

访问/trace端点获取到近期服务器收到的请求信息。如果存在登录用户的操作请求,可以伪造cookie进行登录

3 检测

可以使用https://github.com/AabyssZG/SpringBoot-Scan工具,一把扫出所有的未授权路径

4修复

https://www.cnblogs.com/wsx2019/p/17453170.html

参考:

https://blog.csdn.net/weixin_44106034/article/details/133934404

https://huaweicloud.csdn.net/63874f0cdacf622b8df8aa9f.html
SpringBoot 未授权访问漏洞挖掘
浅析SpringBoot框架常见未授权访问漏洞

相关推荐
认真的酒窝11 小时前
自己动手开发编译器(十一)语义分析
java·开发语言
wbs_scy12 小时前
Linux C++ 高并发编程:线程池全链路深度解析,从原理到手撕实现
java·开发语言
JAVA面经实录91712 小时前
Linux 常用命令完整知识体系
java·linux·开发语言·汇编
Full Stack Developme14 小时前
Java LRU 与 LFU 算法及应用
java·开发语言·算法
程序员老油条16 小时前
WSL2 + Docker Desktop:Windows 下的完美 Java 开发环境
java·windows·docker·wsl2
shushangyun_17 小时前
2026智能采购商城系统选型指南:如何引领企业数字化采购升级
java·大数据·数据库·人工智能·机器学习
她说..17 小时前
Java 默认值设置方式
java·开发语言·后端·springboot
学渣超17 小时前
记一次分布式事务数据不一致的排查之旅:从超时到索引,层层剥茧
java·后端·架构
掉鱼的猫17 小时前
Agent Harness 实战指南:构建生产级 AI Agent 的"马具"框架
java·llm·aigc
带刺的坐椅18 小时前
Agent Harness 实战指南:构建生产级 AI Agent 的"马具"框架
java·ai·llm·agent·solon-ai