Spring Boot Actuator未授权访问漏洞

【漏洞介绍】

Spring Boot Actuator是Spring Boot提供的监控和管理端点，配置不当可导致敏感信息泄露。

【风险端点】

• /actuator/env - 环境属性
• /actuator/heapdump - 堆转储文件
• /actuator/httptrace - HTTP请求跟踪
• /actuator/mappings - 端点映射
• /actuator/configprops - 配置属性

【利用方法】

1. 访问/actuator端点发现可用接口
2. 下载heapdump分析敏感信息
3. 从env端点获取数据库密码

【修复方案】

• 配置security.enabled=true
• 限制敏感端点访问
• 修改默认端点路径
• 添加访问认证

<hr>
<p><small>文章来源: <a href="https://hackerhub.tech/article/2" target="_blank">https://hackerhub.tech/article/2</a></small></p>