警惕SpringBootActuator引发的安全问题

本文转载自微信公众号「Kirito的技术分享」,作者kiritomoe。转载本文请联系Kirito的技术分享公众号。

目前创新互联已为近1000家的企业提供了网站建设、域名、网络空间、网站托管、服务器托管、企业网站设计、永仁网站维护等服务,公司将坚持客户导向、应用为本的策略,正道将秉承"和谐、参与、激情"的文化,与客户和合作伙伴齐心协力一起成长,共同发展。

前言

一年一度的 HW 行动开始了,最近也是被各种安全漏洞搞的特别闹心,一周能收到几十封安全团队扫描出来的漏洞邮件,这其中有一类漏洞很容易被人忽视,但影响面却极广,危害也极大,我说出它的名字你应该也不会感到陌生,正是 Spring Boot Actuator 。

写这篇文章前,我跟我的朋友做了一个小调查,问他们对 Spring Boot Actuator 的了解,结果惊人的一致,大家都知道 Spring Boot 提供了 spring-boot-starter-actuator 的自动配置,但却很少有人真正用到它相关的特性。在继续往下面看这篇文章时,大家也可以先思考下几个问题:

  1. 检查下你开发的项目中有引入 spring-boot-starter-actuator 依赖吗?
  2. 你在项目中有真正用到 spring-boot-starter-actuator 的有关功能吗?
  3. 你知道 spring-boot-starter-actuator 的安全风险和正确配置方式吗?

Spring Boot Actuator 是什么?

好久没翻过 spring 的文档了,为了解释这个还算陌生的名词 Actutor,我特地去翻了下它的文档,找到了官方的定义

Definition of Actuator

An actuator is a manufacturing term that refers to a mechanical device for moving or controlling something. Actuators can generate a large amount of motion from a small change.

好家伙,看了等于白看,以我 CET-6 的水平,理解这段话着实有点难度,希望能有英语比较好的同学帮我翻译下。只能按照我个人对 Spring Boot Actuator 功能的理解来意译下了:我们可以借助于 Spring Boot Actuator 来对 Spring Boot 应用的健康状态、环境配置、Metrics、Trace、Spring 上下文等信息进行查看,除了一系列查看功能之外,它还实现了 Spring Boot 应用的上下线和内存 dump 功能。

Quick Start

第一步 引入依赖

tips:spring-boot-starter-actuator 在不同版本 Spring Boot 中有一定的配置差异,本文采用的是目前最新的 2.4.4 版本

 
 
    
  
  
    2. 
  
  
  2.     org.springframework.boot
    3. 
  
  
  3.     spring-boot-starter-actuator
    4. 
  
  
  4.     2.4.4
    5. 
  
  
  5.

第二步 了解 endpoint

endpoint 是我们使用 Spring Boot Actuator 最需要关心的对象,列举一些你可能感兴趣的 endpoint

ID Description
beans 查看 Spring 容器中的所有对象
configprops 查看被 @ConfigurationProperties 修饰的对象列表
env 查看 application.yaml 配置的环境配置信息
health 健康检查端点
info 应用信息
metrics 统计信息
mappings 服务契约 @RequestMapping 相关的端点
shutdown 优雅下线

例如 health,只需要访问如下 endpoint 即可获取应用的状态

 
 
    
  
  
  1. curl "localhost:8080/actuator/health"
    2.

第三步 了解 endpoint 的 enable 和 exposure 状态

Spring Boot Actuator 针对于所有 endpoint 都提供了两种状态的配置

  • enabled 启用状态。默认情况下除了 shutdown 之外,其他 endpoint 都是启用状态。这也很好理解,其他 endpoint 基本都是查看行为,shutdown 却会影响应用的运行状态。
  • exposure 暴露状态。endpoint 的 enabled 设置为 true 后,还需要暴露一次,才能够被访问,默认情况下只有 health 和 info 是暴露的。

enabled 不启用时,相关的 endpoint 的代码完全不会被 Spring 上下文加载,所以 enabled 为 false 时,exposure 配置了也无济于事。

几个典型的配置示例如下

启用并暴露所有 endpoint

 
 
    
  
  
  1. management:
    2. 
  
  
  2.   endpoints:
    3. 
  
  
  3.     web:
    4. 
  
  
  4.       exposure:
    5. 
  
  
  5.         include: "*"
    6. 
  
  
  6.   endpoint:
    7. 
  
  
  7.     shutdown:
    8. 
  
  
  8.       enabled: true
    9.

只启用并暴露指定 endpoint

 
 
    
  
  
  1. management:
    2. 
  
  
  2.   endpoints:
    3. 
  
  
  3.     enabled-by-default: false
    4. 
  
  
  4.   endpoint:
    5. 
  
  
  5.     info:
    6. 
  
  
  6.       enabled: true
    7. 
  
  
  7.   endpoints:
    8. 
  
  
  8.     web:
    9. 
  
  
  9.       exposure:
    10. 
  
  
  10.         include: "info"
    11.

禁用所有 endpoint

 
 
    
  
  
  1. management:
    2. 
  
  
  2.   endpoints:
    3. 
  
  
  3.     enabled-by-default: false
    4.

或者,去除掉 spring-boot-starter-actuator 依赖!

了解 Spring Boot Actuator 的安全风险

从上文的介绍可知,有一些 Spring Boot Actuator 提供的 endpoint 是会将应用重要的信息暴露出去的,以 env 为例来感受下一个典型的 application.yaml 的示例。

 
 
    
  
  
  1. server:
    2. 
  
  
  2.   port: 8080
    3. 
  
  
  3. spring:
    4. 
  
  
  4.   datasource:
    5. 
  
  
  5.    url: jdbc:mysql://testDbHost:3306/kirito
    6. 
  
  
  6.     username: kirito
    7. 
  
  
  7.     password: 123456
    8. 
  
  
  8. kirito:
    9. 
  
  
  9.   ak: kirito@xxx_ak
    10. 
  
  
  10.   sk: kirito@xxx_sk
    11. 
  
  
  11. management:
    12. 
  
  
  12.   endpoints:
    13. 
  
  
  13.     web:
    14. 
  
  
  14.       exposure:
    15. 
  
  
  15.         include: "*"
    16.

上面的配置再经典不过,我们看看访问 localhost:8080/actuator/env 之后的返回值

 
 
    
  
  
  1. {
    2. 
  
  
  2.   "activeProfiles": [],
    3. 
  
  
  3.   "propertySources": [
    4. 
  
  
  4.     {
    5. 
  
  
  5.       "name": "server.ports",
    6. 
  
  
  6.       "properties": {
    7. 
  
  
  7.         "local.server.port": {
    8. 
  
  
  8.           "value": 8080
    9. 
  
  
  9.         }
    10. 
  
  
  10.       }
    11. 
  
  
  11.     },
    12. 
  
  
  12.     {
    13. 
  
  
  13.       "name": "Config resource 'class path resource [application.yaml]' via location 'optional:classpath:/'",
    14. 
  
  
  14.       "properties": {
    15. 
  
  
  15.         "server.port": {
    16. 
  
  
  16.           "value": 8080,
    17. 
  
  
  17.           "origin": "class path resource [application.yaml] - 2:9"
    18. 
  
  
  18.         },
    19. 
  
  
  19.         "spring.datasource.url": {
    20. 
  
  
  20.           "value": "jdbc:mysql://testDbHost:3306/kirito",
    21. 
  
  
  21.           "origin": "class path resource [application.yaml] - 5:44"
    22. 
  
  
  22.         },
    23. 
  
  
  23.         "spring.datasource.username": {
    24. 
  
  
  24.           "value": "kirito",
    25. 
  
  
  25.           "origin": "class path resource [application.yaml] - 6:15"
    26. 
  
  
  26.         },
    27. 
  
  
  27.         "spring.datasource.password": {
    28. 
  
  
  28.           "value": "******",
    29. 
  
  
  29.           "origin": "class path resource [application.yaml] - 7:15"
    30. 
  
  
  30.         },
    31. 
  
  
  31.         "kirito.ak": {
    32. 
  
  
  32.           "value": "kirito@xxx_ak",
    33. 
  
  
  33.           "origin": "class path resource [application.yaml] - 10:7"
    34. 
  
  
  34.         },
    35. 
  
  
  35.         "kirito.sk": {
    36. 
  
  
  36.           "value": "kirito@xxx_sk",
    37. 
  
  
  37.           "origin": "class path resource [application.yaml] - 11:7"
    38. 
  
  
  38.         },
    39. 
  
  
  39.         "management.endpoints.web.exposure.include": {
    40. 
  
  
  40.           "value": "*",
    41. 
  
  
  41.           "origin": "class path resource [application.yaml] - 17:18"
    42. 
  
  
  42.         }
    43. 
  
  
  43.       }
    44. 
  
  
  44.     }
    45. 
  
  
  45.   ]
    46. 
  
  
  46. }
    47.

可以发现,对于内置的敏感配置信息 spring.datasource.password,Spring Boot Actuator 是进行了脱敏的,但是对于自定义的一些敏感配置,如 kirito.ak 和 kirito.sk 却被暴露出来了。

可能有的读者会立马提出质疑:我们的机器都部署内网,并且一般都是通过反向代理对外暴露的服务,这类 endpoint 是不会被外部用户访问到的。那我只能说太天真了,例如以下情况都是导致安全漏洞的真实 case:

  • 反向代理误配置了根节点,将 actuator 的 endpoint 和 web 服务一起暴露了出去
  • 线上配置没问题,测试环境部署时开通了公网 SLB,导致 actuator 的 endpoint 暴露了出去
  • 同一环境中某台机器被攻陷,导致应用配置信息泄露

安全建议

针对 Spring Boot Actuator 提供的 endpoint,采取以下几种措施,可以尽可能降低被安全攻击的风险

  1. 最小粒度暴露 endpoint。只开启并暴露真正用到的 endpoint,而不是配置:management.endpoints.web.exposure.include=*。
  2. 为 endpoint 配置独立的访问端口,从而和 web 服务的端口分离开,避免暴露 web 服务时,误将 actuator 的 endpoint 也暴露出去。例:management.port=8099。
  3. 引入 spring-boot-starter-security 依赖,为 actuator 的 endpoint 配置访问控制。
  4. 慎重评估是否需要引入 spring-boot-stater-actuator。以我个人的经验,我至今还没有遇到什么需求是一定需要引入spring-boot-stater-actuator 才能解决,如果你并不了解上文所述的安全风险,我建议你先去除掉该依赖。

今天,你使用 Spring Boot Actuator 了吗?

网页题目:警惕SpringBootActuator引发的安全问题
标题路径:http://www.shufengxianlan.com/qtweb/news31/307131.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

猜你还喜欢下面的内容

动态网站知识

分类信息网站

防护网厂    自适应网站建设    成都网站推广    做网站价格    品牌网站建设    阿坝网站建设    西部信息服务器托管    成都网络推广公司    网站方案    平昌做网站    四川和正源    成都网创优客    香港服务器空间    西部信息机房    渠县网站建设    内江做网站    江油网站建设    邛崃做网站    微信公众号开发    橡塑保温管