Java中SpringBoot中Actuator漏洞修复
风险分析:
风险分析:
Actuator 是 Spring Boot 提供的服务监控和管理中间件。当 Spring Boot 应用程序运行时,它会自动将多个端点注册到路由进程中。而由于对这些端点的错误配置,就有可能导致一些系统信息泄露、XXE、甚至是 RCE 等安全问题。
测试过程: 访问 http://localhost:9010/actuator
会暴露敏感数据,禁用/env,/actuator;使其访问直接报错404
#Spring Actuator监控
management:
#完全禁用Actuator
server:
port: -1
endpoints:
#关闭Actuator
enabled-by-default: false
web:
exposure:
#公开 health、info、beans、mappings四个Actuator端点
#include: health,info,beans,mappings
#不允许所有访问
exclude: "*"