<svg xmlns="http://www.w3.org/2000/svg" style="display: none;"> <path stroke-linecap="round" d="M5,0 0,2.5 5,5z" id="raphael-marker-block" style="-webkit-tap-highlight-color: rgba(0, 0, 0, 0);"></path> </svg> <h5>Spring Boot Actuator未授权访问漏洞</h5> 讯享网
详细描述
Actuator 是 springboot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在 Actuator 启用的情况下,如果没有做好相关权限控制,非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息。
解决办法
讯享网
然后在application.properties中开启security功能,配置访问账号密码,重启应用即可弹出。
讯享网
禁用部分接口,如env:
Apache Druid 未授权访问
详细描述
Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。
Apache Druid 默认情况下缺乏授权认证,从而导致未授权访问漏洞。
解决办法
增加用户名密码配置。
代码修改WebConfiguration
讯享网
配置文件修改
下面的配置为登录账号和密码
登录页面
http://{ip}:{port}/druid/login.html
登录账号密码为配置文件配置allowed和password
成功页面
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/188086.html