警惕 Spring Boot Actuator 引发的安全问题
前言
一年一度的 HW 行动开始了,最近也是被各种安全漏洞搞的特别闹心,一周能收到几十封安全团队扫描出来的漏洞邮件,这其中有一类漏洞很容易被人忽视,但影响面却极广,危害也极大,我说出它的名字你应该也不会感到陌生,正是 Spring Boot Actuator
。
写这篇文章前,我跟我的朋友做了一个小调查,问他们对 Spring Boot Actuator
的了解,结果惊人的一致,大家都知道 Spring Boot 提供了 spring-boot-starter-actuator
的自动配置,但却很少有人真正用到它相关的特性。在继续往下面看这篇文章时,大家也可以先思考下几个问题:
检查下你开发的项目中有引入
spring-boot-starter-actuator
依赖吗?你在项目中有真正用到
spring-boot-starter-actuator
的有关功能吗?你知道
spring-boot-starter-actuator
的安全风险和正确配置方式吗?
Spring Boot Actuator 是什么?
好久没翻过 spring 的文档了,为了解释这个还算陌生的名词 Actutor [ˈæktjuˌeɪtər],我特地去翻了下它的文档,找到了官方的定义
Definition of Actuator
An actuator is a manufacturing term that refers to a mechanical device for moving or controlling something. Actuators can generate a large amount of motion from a small change.
好家伙,看了等于白看,以我 CET-6 的水平,理解这段话着实有点难度,希望能有英语比较好的同学帮我翻译下。只能按照我个人对 Spring Boot Actuator 功能的理解来意译下了:我们可以借助于 Spring Boot Actuator 来对 Spring Boot 应用的健康状态、环境配置、Metrics、Trace、Spring 上下文等信息进行查看,除了一系列查看功能之外,它还实现了 Spring Boot 应用的上下线和内存 dump 功能。
Quick Start
第一步 引入依赖
tips:spring-boot-starter-actuator 在不同版本 Spring Boot 中有一定的配置差异,本文采用的是目前最新的 2.4.4 版本
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-actuator</artifactId><version>2.4.4</version>
</dependency>
第二步 了解 endpoint
endpoint 是我们使用 Spring Boot Actuator
最需要关心的对象,列举一些你可能感兴趣的 endpoint
ID | Description |
---|---|
beans | 查看 Spring 容器中的所有对象 |
configprops |
查看被 @ConfigurationProperties 修饰的对象列表
|
env | 查看 application.yaml 配置的环境配置信息 |
health | 健康检查端点 |
info | 应用信息 |
metrics | 统计信息 |
mappings |
服务契约 @RequestMapping 相关的端点
|
shutdown | 优雅下线 |
例如 health
,只需要访问如下 endpoint 即可获取应用的状态
curl "localhost:8080/actuator/health"
第三步 了解 endpoint 的 enable 和 exposure 状态
Spring Boot Actuator
针对于所有 endpoint 都提供了两种状态的配置
enabled 启用状态。默认情况下除了
shutdown
之外,其他 endpoint 都是启用状态。这也很好理解,其他 endpoint 基本都是查看行为,shutdown 却会影响应用的运行状态。exposure 暴露状态。endpoint 的 enabled 设置为 true 后,还需要暴露一次,才能够被访问,默认情况下只有 health 和 info 是暴露的。
enabled 不启用时,相关的 endpoint 的代码完全不会被 Spring 上下文加载,所以 enabled 为 false 时,exposure 配置了也无济于事。
几个典型的配置示例如下
启用并暴露所有 endpoint
management:endpoints:web:exposure:include: "*"endpoint:shutdown:enabled: true
只启用并暴露指定 endpoint
management:endpoints:enabled-by-default: falseendpoint:info:enabled: trueendpoints:web:exposure:include: "info"
禁用所有 endpoint
management:endpoints:enabled-by-default: false
或者,去除掉 spring-boot-starter-actuator
依赖!
了解 Spring Boot Actuator 的安全风险
从上文的介绍可知,有一些 Spring Boot Actuator
提供的 endpoint 是会将应用重要的信息暴露出去的,以 env
为例来感受下一个典型的 application.yaml
的示例。
server:port: 8080
spring:datasource:url: jdbc:mysql://testDbHost:3306/kiritousername: kiritopassword: 123456
kirito:ak: kirito@xxx_aksk: kirito@xxx_sk
management:endpoints:web:exposure:include: "*"
上面的配置再经典不过,我们看看访问 localhost:8080/actuator/env
之后的返回值
{"activeProfiles": [],"propertySources": [{"name": "server.ports","properties": {"local.server.port": {"value": 8080}}},{"name": "Config resource 'class path resource [application.yaml]' via location 'optional:classpath:/'","properties": {"server.port": {"value": 8080,"origin": "class path resource [application.yaml] - 2:9"},"spring.datasource.url": {"value": "jdbc:mysql://testDbHost:3306/kirito","origin": "class path resource [application.yaml] - 5:44"},"spring.datasource.username": {"value": "kirito","origin": "class path resource [application.yaml] - 6:15"},"spring.datasource.password": {"value": "******","origin": "class path resource [application.yaml] - 7:15"},"kirito.ak": {"value": "kirito@xxx_ak","origin": "class path resource [application.yaml] - 10:7"},"kirito.sk": {"value": "kirito@xxx_sk","origin": "class path resource [application.yaml] - 11:7"},"management.endpoints.web.exposure.include": {"value": "*","origin": "class path resource [application.yaml] - 17:18"}}}]
}
可以发现,对于内置的敏感配置信息 spring.datasource.password
,Spring Boot Actuator
是进行了脱敏的,但是对于自定义的一些敏感配置,如 kirito.ak 和 kirito.sk 却被暴露出来了。
可能有的读者会立马提出质疑:我们的机器都部署内网,并且一般都是通过反向代理对外暴露的服务,这类 endpoint 是不会被外部用户访问到的。那我只能说太天真了,例如以下情况都是导致安全漏洞的真实 case:
反向代理误配置了根节点,将 actuator 的 endpoint 和 web 服务一起暴露了出去
线上配置没问题,测试环境部署时开通了公网 SLB,导致 actuator 的 endpoint 暴露了出去
同一环境中某台机器被攻陷,导致应用配置信息泄露
安全建议
针对 Spring Boot Actuator
提供的 endpoint,采取以下几种措施,可以尽可能降低被安全攻击的风险
最小粒度暴露 endpoint。只开启并暴露真正用到的 endpoint,而不是配置:
management.endpoints.web.exposure.include=*
。为 endpoint 配置独立的访问端口,从而和 web 服务的端口分离开,避免暴露 web 服务时,误将 actuator 的 endpoint 也暴露出去。例:
management.port=8099
。引入
spring-boot-starter-security
依赖,为 actuator 的 endpoint 配置访问控制。慎重评估是否需要引入
spring-boot-stater-actuator
。以我个人的经验,我至今还没有遇到什么需求是一定需要引入spring-boot-stater-actuator
才能解决,如果你并不了解上文所述的安全风险,我建议你先去除掉该依赖。
今天,你使用 Spring Boot Actuator 了吗?
警惕 Spring Boot Actuator 引发的安全问题相关推荐
- Spring Boot Actuator:在其顶部具有MVC层的自定义端点
Spring Boot Actuator端点允许您监视应用程序并与之交互. Spring Boot包含许多内置端点,您也可以添加自己的端点. 添加自定义端点就像创建一个从org.springframe ...
- Spring Boot Actuator:自定义端点,其顶部具有MVC层
Spring Boot Actuator端点允许您监视应用程序并与之交互. Spring Boot包含许多内置端点,您也可以添加自己的端点. 添加自定义端点就像创建一个从org.springframe ...
- 朱晔和你聊Spring系列S1E7:简单好用的Spring Boot Actuator
本文会来看一下Spring Boot Actuator提供给我们的监控端点Endpoint.健康检查Health和打点指标Metrics等所谓的Production-ready(生产环境必要的一些)功 ...
- actuator的原理_使用Spring Boot Actuator监视Java应用程序
actuator的原理 朋友不允许朋友写用户身份验证. 厌倦了管理自己的用户? 立即尝试Okta的API和Java SDK. 数分钟之内即可在任何应用程序中对用户进行身份验证,管理和保护. 您是否曾与 ...
- 如何将 Spring Boot Actuator 的指标信息输出到 InfluxDB 和 Prometheus
来源:SpringForAll社区 Spring Boot Actuator是Spring Boot 2发布后修改最多的项目之一.它经过了主要的改进,旨在简化定制,并包括一些新功能,如支持其他Web技 ...
- Spring Boot Actuator
https://www.baeldung.com/spring-boot-actuators 1. Overview In this article, we're going to introduce ...
- spring boot actuator工作原理之http服务暴露源码分析
spring boot actuator的官方文档地址:https://docs.spring.io/spring-boot/docs/current/reference/html/productio ...
- 使用Spring Boot Actuator、Jolokia和Grafana实现准实时监控--转
原文地址:http://mp.weixin.qq.com/s?__biz=MzAxODcyNjEzNQ==&mid=2247483789&idx=1&sn=ae11f04780 ...
- spring Boot Actuator使用
spring Boot Actuator使用 Spring Boot 的 Actuator 提供了很多生产级的特性,比如监控和度量Spring Boot 应用程序. 官网参考文档Spring Boot ...
最新文章
- python ui bs_Guibs的Python学习_列表
- Java实现余弦定理计算文本相似度
- 百炼1001: Exponentiation 解题
- 在Python2.7下如何安装TA-lib库
- The finally block does not always execute in try finally
- 关于office2013无法登陆的问题(出现临时服务器问.。
- CSipIm断网重连崩溃原因分析
- MySQL Workbench出现:Error Code: 2013. Lost connection to MySQL server during query的问题解决
- 英语单词词性顺口溜_英语单词词性顺口溜
- 第一次接触低代码平台 AppCube,还是有点门槛的
- 向量点乘(即内积)和叉乘(即外积、向量积)区别与意义分析
- 服务器打不开jpg的文件,JPEG或JPG图片文件文件受损打不开,4种方法教你快速恢复!...
- 如何申请email账号注册,如何批量注册申请邮箱?
- React 18 的七大更新点你知道几个?
- CSS中flex对部分IOS版本兼容性问题
- Scala - IEEE754 浮点标准与 Float / Double 转换
- Ubuntu 开机显示 initramfs 进不了系统
- 阿里云主机购买及配置Linux服务器(centos7.5)详细步骤
- 汽车新能源密集布局TT域名,今天我们不说老罗
- unity3d游戏开发之 游戏贴图、模型基本规范(QA)