spring框架漏洞整理(Spring Boot Actuator相关漏洞)
2023-09-11 14:19:27 时间
本文搜集了所有 spring 相关漏洞,对它们的利用条件和检测方式进行梳理和总结,希望在面对 spring 的时候能够有一个更完整的思路。这里更多是的是的利用条件和检测方式的总结,主要以发现漏洞为目的,至于如何将漏洞效果最大化这里不做过多介绍,网上资料很多,直接查对应文章即可。本文重点讲解Spring Boot Actuator相关漏洞
Spring Boot Actuator相关漏洞
主要参考文章了https://github.com/LandGrey/SpringBootVulExploit 这篇文章,重新梳理了文章内容并补充了一些新的内容,公众号不能引入外链,这里记录一下利用条件,具体利用方法访问这篇文章查看下
利用条件是目标开启了 springboot 的 Actuator 的相关接口
-
Spring Boot < 1.5 默认未授权访问所有端点
-
Spring Boot >= 1.5 默认只允许访问/health 和/info 端点,但是此安全性通常被应用程序开发人员禁用
Actuator 信息泄漏问题
一、路由地址及接口调用详情泄漏问题
主要是 swagger 的相关路由,可能泄漏所有的接口及接口参数。
/swagger
/api-docs
/api.html
/swagger-ui
/swagger/codes
/api/index.html
/api/v2/api-docs
/v2/swagger.json
/swagger-ui/html
/distv2/index.html
/swagger/index.html
/sw/swagger-ui.html
/api/swagger-ui.html
/static/swagger.json
/user/swagger-ui.html
/swagger-ui/i
相关文章
- 面试(4)-spring-Spring面试题和答案
- Spring Security教程系列(一)基础篇-1
- 解决IDEA使用Spring Initializr创建项目时,无法连接到https://start.spring.io的问题
- 8 -- 深入使用Spring -- 4...3 AOP的基本概念
- 8 -- 深入使用Spring -- 2...3 使用@Resource配置依赖
- Spring Cloud Gateway RCE (CVE-2022-22947)漏洞复现
- Spring解决循环依赖
- Spring事务处理时自我调用的解决方案 嵌套AOP
- Spring Boot-Error:(3, 32) java: 程序包org.springframework.boot不存在
- 老版本的Spring应用该如何应对CVE-2022-22965漏洞?
- Spring Cloud Gateway现高风险漏洞,建议采取措施加强防护
- Spring Boot 2.5.0 重新设计的spring.sql.init 配置有啥用?
- Spring Authorization Server 0.3.0 发布,官方文档正式上线
- HikariCP和spring-boot-devtools了解
- spring框架漏洞整理(Spring Cloud Config路径穿越导致的信息泄露)
- spring框架漏洞整理(Spingboot Thymeleaf模板注入)
- spring框架漏洞整理(Springboot漏洞)
- Spring中最常用的11个扩展点
- 【转】Spring学习---为什么要用spring,springMVC
- spring-data-mongodb必须了解的操作
- Auto-Publishing and Monitoring APIs With Spring Boot--转
- 曹工说Spring Boot源码系列开讲了(1)-- Bean Definition到底是什么,附spring思维导图分享
- spring 手动写事物,案例
- spring定时任务scheduler集群环境下指定运行服务器防止多服务器多次执行