2023年11月28日发(作者:)

Springboot框架actuator配置不当修复⽅案及验证详细

Springboot框架actuator配置不当修复⽅案及验证详细

1.判断是否使⽤了Springboot框架

⽅法⼀: 查看⽹页图标 如果是类似SpringBoot框架的默认图标

这样的图标则⼤概率是使⽤了该框架

⽅法⼆:在⽅法⼀如果不能完全确定时,可以在⽹页路径在输⼊错误路径导致⽹页报错

查看⽹页的报错界⾯,如果是如下界⾯则基本可以确定使⽤了SpringBoot框架

2.枚举actuator下的路径

在确定是SpringBoot框架后,枚举站点的⼀级、⼆级甚⾄三级⽬录,查看⽬录下⾯是否存在actuator执⾏端点路径

在ties配置⽂件中查看actuator的访问路径

如 设置t-path=/monitor

则访问访问ip:port/monitor/actuator

默认配置下 t-path=/

此时访问ip:port/actuator 暴露配置信息

根据actuator信息知道可以访问/actuator/health 和 /actuator/info

漏洞修复⽅案

⽅案⼀:

可以在ties配置⽂件修改配置

开启业务需求上必须的端⼝(建议全部禁⽤)

通过配置nt.<端点名称>.enabled为true/false来开启/禁⽤端⼝``

d = false //禁⽤所有端⼝

d = true //开启metrics端点

通过配置e=xxx 来暴露某个web端点

验证⽅法

再次访问指定的路径,若未能查看到配置信息,则配置安全

总结