ホームページ > Java > &#&チュートリアル > SpringBoot Actuator の不正アクセスの脆弱性を修正する方法

SpringBoot Actuator の不正アクセスの脆弱性を修正する方法

WBOY
リリース: 2023-05-12 23:34:10
転載
6799 人が閲覧しました

1. 前に書く

現在、SpringBoot フレームワークはますます普及しており、ほとんどの中小企業が新しいプロジェクトを開発しています。バックエンド言語で Java を使用する場合、SpringBoot が最初の選択肢になります。

ruoyi などの多くのオープン ソース フレームワークでは、次のようになります。 ######理由がわからない?これらのフレームワークの pom ファイルで

SpringBoot Actuator

の依存関係を見つけることになります。 ねえ、この

Actuator

は多くの人によって使用されていないと推定されていますが、pom ファイルに表示されるため、セキュリティ脆弱性テストを実行すると、結果として表示されます。脆弱性の問題。 例:

SpringBoot Actuator の不正アクセスの脆弱性を修正する方法これらの脆弱性の修正を開始しています。 ! !

2. 問題の説明

Actuator

は、アプリケーション システムのイントロスペクションとモニタリングのために Springboot によって提供される機能モジュールです。Actuator の助けを借りて、開発者は特定のモニタリング インジケーターを簡単に使用できますシステムの統計を表示および作成します。 Actuator のコアは、アプリケーションとインタラクションの監視に使用されるエンドポイントです。spring-boot-actuator には多くのエンドポイントが組み込まれています (ヘルス、情報、Bean、メトリクス、httptrace、シャットダウンなど)。 、独自のエンドポイントを拡張することもできます。

各エンドポイントは有効または無効にすることができます。 Endpoint にリモートでアクセスするには、JMX または HTTP を通じて公開する必要もあります。ほとんどのアプリケーションは HTTP を選択します。

わかりました、

Actuator

は非常に優れているようで、モニタリングに使用できます。ただし、ほとんどの企業はおそらくこれを使用したことがないため、Actuator のメリットを享受することはできません。

アクチュエータ

利便性をもたらす一方で、適切に管理しないと、サーバーが外部ネットワークに公開されたり、機密情報の漏洩につながる可能性があります。サーバーが崩壊する可能性があります。それでは、どのようなセキュリティ上の問題が発生するのか見てみましょう。 3. セキュリティの問題

たとえば、

http://localhost:7200/actuator/env

# にアクセスできます。

## 上記の情報をご覧になりましたか?なんと、データベース接続アドレス、アカウントのパスワード、その他の情報が実際に表示されるのです。 SpringBoot Actuator の不正アクセスの脆弱性を修正する方法

これらのアドレスが管理されていない場合、これは技術的基盤を持つ一部の人々にとって深刻な脆弱性ではないでしょうか?これは T0 レベルの脆弱性であると推定されています。

これらをどのように制御すればよいでしょうか?

4. 禁止方法

llsydn-dev.properties

management.endpoints.web.exposure.exclude=env,heapdump,threaddump,mappings
ログイン後にコピー
に以下の設定を追加することでenvへのアクセスが禁止されます。

次に、もう一度アクセスしてみましょう。例:

アクセスすると、404 が表示され、禁止されていることを示します。 SpringBoot Actuator の不正アクセスの脆弱性を修正する方法

5. Actuator を完全に無効にする

上記の変更では、実際に env を無効にするメソッドを実装することで、対応するインターフェイス情報を制御できるようになり、基本的には無事に到着しました。

ただし、セキュリティ脆弱性スキャンを実行すると、対応する脆弱性が引き続きスキャンされますが、実際には、この脆弱性は解決されていません。それでは、

Actuator

を完全に禁止することはできるでしょうか?

答えは間違いなく「はい」です。 ! !

たとえば、次の構成:

# 完全禁用actuator
management.server.port=-1
ログイン後にコピー

この構成では、セキュリティ脆弱性スキャンの実行後に脆弱​​性はスキャンされません。

以上がSpringBoot Actuator の不正アクセスの脆弱性を修正する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
ソース:yisu.com
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート