Spring Boot Actuator 未授权访问漏洞

Spring Boot Actuator 未授权访问漏洞 详细描述

Actuator是Spring Boot提供的服务监控和管理中间件，默认配置会出现接口未授权访问，部分接口会泄露网站流量信息和内存信息等，使用Jolokia库特性甚至可以远程执行任意代码，获取服务器权限。

修复建议

1.配置认证
在项目的pom.xml文件下引入spring-boot-starter-security依赖

<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>

然后在application.properties中开启security功能，配置访问账号密码，重启应用即可弹出。

management.security.enabled=true security.user.name=admin security.user.password=admin

2.禁用接口
禁用全部接口：

endpoints.enabled = false

禁用部分接口，如env:

endpoints.env.enabled = false management.endpoints.web.exposure.exclude=env,heapdump,threaddump,mappings # 完全禁用actuator management.server.port=-1