|站长教程||可乐云 - 云服务器评测指南||在线网站日志分析-网站蜘蛛分析||轻松调整批量图像大小3.0 ||网站地图|

24小时在线平台

搜索

热门标签:

当前位置: 24小时在线平台 > 部署教程大全 > 文章页

Spring Boot Actuator 未授权访问漏洞

时间:2025-05-13 08:35来源: 作者:admin 点击: 20 次
### Spring Boot Actuator 未授权访问漏洞 #### 详细描述 > Actuator是Spring Boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务

Spring Boot Actuator 未授权访问漏洞 详细描述

Actuator是Spring Boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。

修复建议

1.配置认证
在项目的pom.xml文件下引入spring-boot-starter-security依赖

<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>

然后在application.properties中开启security功能,配置访问账号密码,重启应用即可弹出。

management.security.enabled=true security.user.name=admin security.user.password=admin

2.禁用接口
禁用全部接口:

endpoints.enabled = false

禁用部分接口,如env:

endpoints.env.enabled = false management.endpoints.web.exposure.exclude=env,heapdump,threaddump,mappings # 完全禁用actuator management.server.port=-1

(责任编辑:)
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:
最新评论 进入详细评论页>>
发布者资料
查看详细资料 发送留言 加为好友 用户等级: 注册时间:2025-07-05 02:07 最后登录:2025-07-05 02:07
栏目列表
推荐内容
热点内容

Powered by 首页 © 2020

Copyright © 2023 24小时在线平台 版权所有