如何解决SpringBoot Actuator授权漏洞问题？

本文共计728个文字，预计阅读时间需要3分钟。

1. 首先面向SpringBoot框架，广泛应用于各种中小型企业和开发新项目时。

2.后端语言主要使用Java，在多数情况下首选SpringBoot。

3.在众多开源框架中，如ruo等，也常被采用。

1.写在前面

目前SpringBoot得框架，越来越广泛，大多数中小型企业，在开发新项目得时候。后端语言使用java得情况下，首选都会使用到SpringBoot。

在很多得一些开源得框架中，例如: ruoyi若以，这些。

不知道是出于什么原因？我们都会在这些框架中得pom文件中找到​​SpringBoot Actuator​​的依赖。

嘿，这​​Actuator​​估计很多人都没有真真实实使用过，但是就会出现在pom文件中；这样导致，在做一些安全漏洞测试的时候，会出现漏洞问题。

例如下面：

对于这些漏洞，我们开始修复喽！！！

2.问题描述

​​Actuator​​是Springboot提供的用来对应用系统进行自省和监控的功能模块，借助于Actuator开发者可以很方便地对应用系统某些监控指标进行查看、统计等。

Actuator 的核心是端点 Endpoint，它用来监视应用程序及交互，spring-boot-actuator 中已经内置了非常多的Endpoint（health、info、beans、metrics、localhost:7200/actuator/env​​

看到上面的信息了吗？哇，我们居然能看到数据库连接地址，账号密码等信息。

这些地址如果不加以控制，对于一些有技术基础的人员来说，这不得是一个很严重的漏洞？估计是t0级别的漏洞了。

对于这些，我们要如何进行控制呢？

4.禁止方法

在​​llsydn-dev.properties​​增加配置如下

management.endpoints.web.exposure.exclude=env,heapdump,threaddump,mappings

这样 env 就被禁止访问了。

然后我们再来访问一下比如：

好了，可以看到访问就出现404了，表示已经禁了。

5.完全禁用Actuator

对于上面的修改，其实已经可以实现禁止了env的方法，也就基本上都能控制到相应的接口信息，基本上也能做到了安全。

但是在做等保安全漏洞扫描的时候，还是会扫出来响应的漏洞，那其实，还是没有解决掉这个漏洞。那我们能不能完全禁止​​Actuator​​呢？

答案，肯定是可以的！！！

例如下面这个配置：

# 完全禁用actuatormanagement.server.port=-1

这样配，等保做安全漏洞扫描，就不会扫描出该漏洞了！！！

嘿，再也不用担心​​Actuator​​漏洞问题！！！