网站首页 > 开源技术 正文
Actuator是Spring Boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
代码层修改
禁用所有接口,将配置改成:
endpoints.enabled = false
或者引入spring-boot-starter-security依赖:
org.springframework.boot
spring-boot-starter-security
开启security功能,配置访问权限验证,类似配置如下:
management.port=8099
management.security.enabled=true
security.user.name=xxxxx
security.user.password=xxxxxx运维层修复
使用nginx将所有访问全部禁止,此方法需要和研发人员沟通确定是否存在正常接口访问问题。
location ~* /(beans|env|info|health|configprops|metrics|jolokia|trace|archaius|dump|autoconfig|features|mappings|logfile|heapdump|loggers) {
return 403;
}
server {
listen 443 default;
server_name _;
return 403;
}
猜你喜欢
- 2025-01-01 【SpringCloud】配置:application.yml中都应该写些啥?
- 2025-01-01 「Spring Boot」 Actuator Endpoint
- 2025-01-01 Spring Boot漏洞复现
- 2025-01-01 世界最辣的十种辣椒甚至有的能让人失去味觉!
- 2025-01-01 如何防范SpringBoot 相关漏洞?
- 2025-01-01 JVM性能监控工具
- 2025-01-01 Java代码审计之不安全的Java代码
- 2025-01-01 熊孩子将魔鬼辣椒带到学校,然后分给了40个孩子吃
- 2025-01-01 Kafka GUI+实时监控——Kafka Assistant
- 2025-01-01 印度军工又出奇招,世界最猛野椒研制最辣炸弹,熏得大象都受不了
欢迎 你 发表评论:
- 最近发表
- 标签列表
-
- jdk (81)
- putty (66)
- rufus (78)
- 内网穿透 (89)
- okhttp (70)
- powertoys (74)
- windowsterminal (81)
- netcat (65)
- ghostscript (65)
- veracrypt (65)
- asp.netcore (70)
- wrk (67)
- aspose.words (80)
- itk (80)
- ajaxfileupload.js (66)
- sqlhelper (67)
- express.js (67)
- phpmailer (67)
- xjar (70)
- redisclient (78)
- wakeonlan (66)
- tinygo (85)
- startbbs (72)
- webftp (82)
- vsvim (79)
本文暂时没有评论,来添加一个吧(●'◡'●)