Spring Boot Actuator基础使用及Actuator未授权访问处理

最新推荐文章于 2025-07-09 19:30:10 发布
最新推荐文章于 2025-07-09 19:30:10 发布
阅读量1.6k 收藏 8
点赞数 6
CC 4.0 BY-SA版权
分类专栏: SpringCloud 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43625238/article/details/146934493

SpringBoot项目引入Actuator监控

  • pom.xml
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-actuator</artifactId>
    <version>2.7.13</version>
</dependency>
  • bootstrap.yml
management:
  server:
    #管理端口
    port: 8091
  endpoints:
    web:
      exposure:
        #暴露的端点,*表示全部,如果想要开放指定的端点,可以以逗号分割,指定开放,如info,health就表示开放info,health两个端点
        include: '*'
  • 测试
    启动后访问本地actuator端点列表接口 http://127.0.0.1:8091/actuator
    actuator端点列表
    访问一个开放的端点,如health
    health端点.png

代码定位

以health为例,health的端点实现方法为org.springframework.boot.actuate.health.HealthEndpoint#health()

@ReadOperation
public HealthComponent health() {
    HealthComponent health = this.health(ApiVersion.V3, EMPTY_PATH);
    return (HealthComponent)(health != null ? health : DEFAULT_HEALTH);
}

其余端点可以去org.springframework.boot.actuate包下对应端点的包名中寻找响应的Endpoint类即可

自定义端点扩展

  • 新建hello的endpoint
@Component
@Endpoint(id = "hello")
public class HelloEndpoint {

    @ReadOperation
    public String hello() {
        return "hello";
    }
}
  • 运行项目,访问 http://127.0.0.1:8091/actuator
    发现hello端点出现在列表中
    actuator
  • 访问hello端点 http://127.0.0.1:8091/actuator/hello
    自定义端点

添加认证

在实际的项目中,如果未进行特殊处理,actuator往往会触发Actuator未授权访问漏洞,
这种时候需要进行修复,下面推荐几种修复方式

  • 借助security进行授权
    pom中引入security的依赖
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

编写认证代码

@Configuration
@Order(66)
public class SecurityConfiguration {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.csrf().disable()
                // 配置对/actuator/的请求进行拦截
                .authorizeRequests()
                // 仅允许10.9网段及本地访问端点
                .antMatchers("/actuator/**").access("hasIpAddress('10.9.0.0/16') or hasIpAddress('127.0.0.1')")
                .and()
                // 配置一个自定义的访问拒绝处理器(可选,但推荐用于明确的403响应)
                .exceptionHandling().accessDeniedHandler((request, response, accessDeniedException) -> response.sendError(HttpServletResponse.SC_FORBIDDEN, "You are not allowed to access!"));
        return http.build();
    }
}

访问 http://127.0.0.1:8091/actuator
,发现可正常返回
127网段访问
访问 http://10.8.0.46:8091/actuator
,返回403
10.8网段

  • 仅开放部分端点
    在部分要求不严格的环境中,可以只开放部分不敏感的端点,如
management:
  server:
    port: 8091
  endpoints:
    web:
      exposure:
        include: health,info
【高危】Spring Boot Actuator未授权访问
imudges_hanhaoyu的博客
05-29 1654
一个SpringBoot的项目,采用了若依的框架,不知道是框架自带的还是有人单独加的,项目里用到了。(以下简称SBA)主要用于Spring Boot应用的健康检查,配合K8S可用于服务部署,切换流量,监控报警等场景。但是就我的理解,这个项目是一个比较简单的项目,应该是用不到Spring Boot Actuator的然后,被检测出来,有漏洞了。。。
Spring Boot Actuator未授权访问排查和整改指南
热门推荐
weixin_44106034的博客
10-19 4万+
1、信息泄露:未授权访问者可以通过Actuator端点获取敏感信息,如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点,并进行更深入的攻击。2、使用默认的敏感端点路径:默认情况下,Actuator的一些敏感端点路径(如/actuator/shutdown、/actuator/env)可能对未授权用户开放。2、系统破坏:攻击者可以通过Actuator端点的未授权访问,执行恶意操作,如修改配置、篡改数据、重启应用程序、关闭数据库连接等,从而破坏应用程序的正常运行。
SpringBoot Actuator 未授权访问漏洞
最新发布
m0_73399576的博客
07-09 1272
知识面,决定看到的攻击面有多广。知识链,决定发动的杀伤链有多深。
解决目录穿越访问Spring Actuator 接口(未授权
HRSR1314的博客
06-27 478
解决目录穿越访问Spring Actuator 接口(未授权
Hadoop,ActiveMQ,RabbitMQ,Springboot Actuator未授权访问漏洞(附带修复方法)
C233333235的博客
08-09 3134
Hadoop是⼀个由Apache基⾦会所开发的分布式系统基础架构,由于服务器直接在开放了Hadoop 机器 HDFS 的 50070 web 端⼝及部分默认服务端⼝,⿊客可以通过命令⾏操作多个⽬录下的数据,如进⾏删除,下载,⽬录浏览甚⾄命令执⾏等操作,产⽣极⼤的危害。在 Actuator 启⽤的情况下,如果没有做好相关权限控制,⾮法⽤户可通过访问默认的执⾏器端点(endpoints)来获取应⽤系统中的监控信息,从⽽导致信息泄露甚⾄服务器被接管的事件发⽣。默认情况下,ActiveMQ服务是没有配置安全参数。
Spring Boot Actuator未授权访问漏洞
SummerGao
12-03 4710
Spring Boot ActuatorSpring Boot提供的一个用于对应用系统进行自省和监控的功能模块。它允许开发者通过暴露的端点(Endpoints)来查看和交互应用系统的各种指标和配置信息,如健康检查、环境属性、线程转储、HTTP追踪等。这些端点对于开发者在开发、测试以及生产环境中监控和管理应用非常有用。
Springboot Actuator未授权访问漏洞
weixin_53736204的博客
08-05 673
Actuatorspringboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息,从而导致信息泄露甚至服务器被接管的事件发生。Actuatorspringboot 提供的用来对应用系统进行自省和监控的功能模块。步骤二:拼接以下路径查看泄露的数据.
SpringBoot Actuator未授权访问
jenchoi413的博客
02-07 1624
Spring Boot Actuator 是一个用于监控和管理 Spring Boot 应用的库,提供了多种端点(endpoints)来查看应用的运行状态、健康检查、指标、日志等信息,适用于生产环境监控和故障排查。健康检查(Health)显示应用健康状态,如数据库、缓存等组件的可用性。应用指标(Metrics)提供 CPU、内存、GC、请求统计等信息。环境信息(Env)显示应用环境变量和配置属性。日志管理(Loggers)允许动态调整日志级别。线程 Dump(Thread Dump)
Spring Boot Actuator未授权访问漏洞处理
爱米酱的博客
12-02 5363
【代码】Spring Boot Actuator未授权访问漏洞处理
SpringBoot Actuator未授权访问漏洞修复
JHIII的博客
08-25 2万+
目前SpringBoot得框架,越来越广泛,大多数中小型企业,在开发新项目得时候。后端语言使用java得情况下,首选都会使用SpringBoot。在很多得一些开源得框架中,例如: ruoyi若以,这些。不知道是出于什么原因?我们都会在这些框架中得pom文件中找到的依赖。嘿,这Actuator估计很多人都没有真真实实使用过,但是就会出现在pom文件中;这样导致,在做一些安全漏洞测试的时候,会出现漏洞问题。例如下面:对于这些漏洞,我们开始修复喽!!!
Spring Boot Actuator执行器运行原理详解
08-24
在本文中,我们将详细介绍 Spring Boot Actuator 执行器的运行原理,并通过示例代码对其进行说明,以便大家更好地理解和使用它。 一、启用 Spring Boot Actuator 要启用 Spring Boot Actuator,需要在构建配置文件...
Spring Boot Actuator端点相关原理解析
08-18
Spring Boot Actuator 是一个功能强大且广泛使用的组件,它提供了众多的Web端点,通过这些端点,我们可以了解应用程序运行时的内部状况,掌握应用程序可以获取的环境属性信息,获取运行时度量信息的快照等。Actuator...
Spring Boot Actuator监控器配置及使用解析
08-18
Spring Boot Actuator监控器配置及使用解析 Spring Boot Actuator是一种监控器模块,提供了对应用程序的监控功能。它可以通过不同的监控终端来实现不同的监控功能。以下是对Spring Boot Actuator监控器的配置及使用...
SpringBoot Actuator未授权访问漏洞的全面解析与解决方案
Arvin627的博客
04-29 3627
引言SpringBoot Actuator 作为应用监控与管理的核心组件,为开发者提供了丰富的系统自省和运维能力。然而,其默认配置中可能存在的未授权访问漏洞,已成为企业安全防护的潜在风险。本文将从漏洞原理、影响范围、检测方法到解决方案,系统性地剖析该问题,并提供覆盖开发、运维、安全等多维度的防护策略,助力构建安全可靠的SpringBoot应用体系。
spring boot actuator 未授权访问(env泄露redis密码)
lyink001的博客
12-16 1万+
actuator 未授权访问获取redis密码
springboot Actuator未授权访问漏洞
qq_45382625的博客
08-29 1162
Spring Boot 2.X 中,Actuator 默认开放 health 和 info 两个端点,如果需要配置开放所有端点(配置值为 "*" 代表所有)
修复SpringBoot Actuator未授权访问遇到的问题
玛卡巴卡的博客
03-30 5229
访问http://xxx.xx.x/actuator 会直接获取到系统监控信息,存在安全问题。
SpringbootActuator未授权访问漏洞
neeef_se的博客
02-15 1119
ActuatorSpringBoot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。然而,其默认配置会出现接口未授权访问,导致部分接口会泄露网站数据库连接信息等配置信息,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
Spring boot Actuator未授权访问复现
01-08
### 复现Spring Boot Actuator未授权访问漏洞 为了展示如何复现Spring Boot Actuator未经授权的访问漏洞,需构建一个简单的Spring Boot应用程序并暴露Actuator端点而无需任何安全措施。 #### 创建无保护的Spring Boot应用 创建一个新的Spring Boot项目,并在`pom.xml`文件中加入依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-actuator</artifactId> </dependency> ``` 接着,在`application.properties`或`application.yml`配置文件里激活所有默认的健康检查和其他管理功能: ```yaml management: endpoints: web: exposure: include: "*" ``` 此时启动该服务,默认情况下所有的敏感操作如查看环境变量(`/env`)、JVM信息(`/metrics`)等都将对外公开可被任意客户端调用[^1]。 #### 测试未授权访问 一旦上述设置完成并且服务器运行正常,则可以直接通过浏览器或者命令行工具(比如curl)尝试请求不同的Actuator路径。例如获取当前系统的环境属性列表: ```bash curl http://localhost:<port>/actuator/env ``` 如果确实存在权限控制缺失的情况,那么即使不提供任何形式的身份验证凭证也能够成功读取到返回的数据,这表明已经成功复现了未授权访问的问题[^2]。 为了避免潜在的安全风险,在实际生产环境中应当按照最佳实践部署适当的安全策略来防止此类问题的发生,比如采用基于角色的访问控制系统(RBAC),仅允许特定IP地址范围内的设备发起请求等方式加强防护力度[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值