应用被安全工具,扫描出漏洞信息
【MSS】SpringBoot Actuator敏感接口未授权访问漏洞(Actuator)事件发现通告:
发现时间:2023-11-25 19:47:17
攻击时间:2023-11-25 18:56:44
事件/告警类型:非授权访问/权限绕过
告警设备:APT
攻击IP:xxx
被攻击IP/资产信息:xxx
告警描述:SpringBoot Actuator敏感接口未授权访问漏洞(Actuator) http://xxx/actuator/
优先级:三级(一般)
处置建议:关闭或限制Actuator端口的访问权限,或升级Spring Boot版本修复漏洞。
解决方案
方法1. 修改配置
management: server: port: -1 # 修改端口,跳过安全漏洞扫描 endpoints: enabled-by-default: false #关闭监控 web: exposure: include: '*'
方法2. 添加访问权限
通过配置 Spring Security 来限制对 Actuator 端点的访问,只为了这一个需求,添加 Spring Security 感觉有些重
@Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/actuator/**").hasRole("ADMIN") // 设置只有具有 ADMIN 角色的用户可以访问 Actuator 端点 .anyRequest().permitAll() .and() .httpBasic(); // 启用基本认证 } }
