【修复指南】Spring Boot Actuator 未授权访问远程代码执行漏洞

风险描述

Actuator 是 Spring Boot 提供的服务监控和管理中间件，默认配置会出现接口未授权访问，部分接口会泄露网站流量信息和内存信息等。使用 Jolokia 库特性甚至可以远程执行任意代码，获取服务器权限。

修复建议

方案一：

禁用所有接口。修改配置management.endpoints.enabled 为 false。

方案二：

引入spring-boot-starter-security依赖并开启security功能

1、在项目的pom.xml文件下引入spring-boot-starter-security依赖

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-actuator</artifactId>
</dependency>

2、开启security功能。在application.properties中开启security功能，配置访问账号密码，并重启服务使配置生效。可参考如下示例

management.port=8099
management.security.enabled=true
security.user.name=yourUsername
security.user.password=yourPassword

漏洞复检

在完成配置修改后，重新检测漏洞，确认是否成功修复。

若您在修复过程中遇到任何困难或有其他相关疑问，也可联系华籁云技术工程师获取支持。

关于我们：华籁云（www.hualaiyun.cn）隶属南京华籁云信息技术有限公司，是一家专注于网站及服务器综合业务提供商。服务包括：南京网站建设、南京域名注册、南京虚拟主机、南京服务器租用、南京服务器维护、南京网站维护，公司配有客服、技术、开发等部门，拥有数名安全专家，7*24为用户提供技术服务。

欢迎联系华籁云（HUALAIYUN）我们将竭诚为您服务!

接待地址：南京市文景路61号垠坤创芯汇（各区均有办公接待处） 贴心服务：一个电话免费预约来访或者上门洽谈