【漏洞介绍】
Spring Boot Actuator是Spring Boot提供的监控和管理端点,配置不当可导致敏感信息泄露。
【风险端点】
• /actuator/env - 环境属性
• /actuator/heapdump - 堆转储文件
• /actuator/httptrace - HTTP请求跟踪
• /actuator/mappings - 端点映射
• /actuator/configprops - 配置属性
【利用方法】
1. 访问/actuator端点发现可用接口
2. 下载heapdump分析敏感信息
3. 从env端点获取数据库密码
【修复方案】
• 配置security.enabled=true
• 限制敏感端点访问
• 修改默认端点路径
• 添加访问认证
Spring Boot Actuator未授权访问漏洞
admin
测试个人简介-安全爱好者
评论 (0)