spring boot未授权访问及Swagger漏洞处理

这篇具有很好参考价值的文章主要介绍了spring boot未授权访问及Swagger漏洞处理。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

无需修改源码,处理spring boot未授权访问及Swagger漏洞处理

漏洞说明

spring boot未授权访问

风险程度:【高危】
漏洞概述
未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。登陆验证一般的方式都是将用户在登录口输入的账号密码拿去与数据库中的记录做验证,并且要求输入的账号密码要等于数据库中某条记录的账号密码,验证通过则程序就会给用户一个session,然后进入后台,否则就返回到登陆口。然而攻击者可以找到一些缺乏权限验证的URL,直接绕过登录执行数据库查询,构成未授权访问。
漏洞危害
攻击者可绕过登录验证非法访问资源,如后台功能、敏感文件等。
整改建议
建议增加漏洞页面(接口)的访问认证,防止未授权访问直接浏览访问或调用。
涉及的请求地址包括但不限于:

  1. [http://ip:port/env/]
  2. http://ip:port/mappings
  3. http://ip:port/dump/

Swagger接口文档泄露

风险程度:【高危】
漏洞概述
Swagger生成的[API文档],是直接暴露在相关web路径下的。所有人均可以访问查看。通过这一点即可获取项目上所有的接口信息。那么结合实际业务,例如如果有文件读取相关的接口,可能存在任意文件下载,相关的业务访问可能存在未授权访问等。
漏洞危害
业务敏感信息泄露后可能会对用户带来危害,系统敏感信息泄露可能会协助攻击者提供更多的攻击途径和方法。
整改建议
结合SpringSecurity/shiro进行认证授权,将Swagger-UI的URL加入到各自的认证和授权过滤链中,当用户访问Swagger对应的资源时,只有通过认证授权的用户才能进行访问。
涉及的请求地址包括但不限于:

  1. [http://ip:port/swagger-ui.html#/cag45controller]
  2. http://ip:port/v2/api-docs

漏洞处理

spring boot未授权访问

官方给的整改建议,涉及修改代码,不方便实施。若涉及到的请求地址非必须,则可以通过修改配置文件进行处理:

# 若原来的配置如下,则表明访问时不需要认证,可直接访问,此时删除此配置即可。
management.security.enabled=false

上述方案亲测有效。

从网上查找,有如下方案(此方案未亲测),增加配置:

management.endpoints.web.exposure.exclude=env,heapdump,threaddump,mappings

或者是(未亲测),增加配置:

# 完全禁用actuator
management.server.port=-1

Swagger接口文档泄露

官方给的建议或网上其他帖子给的方案,都涉及修改代码,在生产环境下,一旦涉及代码修改,动作过大,又要重新测试、发布,太麻烦。
我采用的方案是通过nginx配置,过滤掉漏洞涉及的url,禁止方案,nginx中增加如下配置,亲测有效:

server { 
    listen       8081; 
    server_name  127.0.0.1; 
		if ($request_uri ~* "/swagger-ui") {
			return 403;
		}
		if ($request_uri ~* "/api-docs") {
			return 403;
		}
    location / {
        proxy_pass  http://127.0.0.1:8080;
    }
}

注意,上述server_name,要换成自己系统的域名或服务器ip地址;listen和location重定向的ip、端口信息,要结合自己的实际情况修改。文章来源地址https://www.toymoban.com/news/detail-562319.html

到了这里,关于spring boot未授权访问及Swagger漏洞处理的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Spring boot 启动添加访问地址和swagger地址输出

             在Spring boot 项目启动后,输出访问地址和swagger地址,便于查看和对接。 通过Environment去读取配置的名称,端口和路径。 启动后,就可以看到输出的内容,可以直接访问swagger就比较方便。

    2024年01月23日
    浏览(41)
  • Spring Boot Actuator未授权访问漏洞

    Spring Boot Actuator 端点的未授权访问漏洞是一个安全性问题,可能会导致未经授权的用户访问敏感的应用程序信息。 可是并不用太过担心,Spring Boot Actuator 默认暴漏的信息有限,一般情况下并不会暴露敏感数据。 注册中心有些功能集成了actuator,如果同时使用eureka和actuator,可

    2024年02月13日
    浏览(41)
  • 如何解决 Spring Boot Actuator 的未授权访问漏洞

    Spring Boot Actuator  的作用是提供了一组管理和监控端点,允许你查看应用程序的运行时信息,例如健康状态、应用程序信息、性能指标等。这些端点对于开发、 测试  和运维团队来说都非常有用,可以帮助快速诊断问题、监控应用程序的性能,并采取必要的措施来维护和管理

    2024年02月07日
    浏览(37)
  • Spring Boot 整合 Swagger 教程详解

    ✅作者简介:2022年 博客新星 第八 。热爱国学的Java后端开发者,修心和技术同步精进。 🍎个人主页:Java Fans的博客 🍊个人信条:不迁怒,不贰过。小知识,大智慧。 💞当前专栏:SpringBoot 框架从入门到精通 ✨特色专栏:国学周更-心性养成之路 🥭本文内容:Spring Boot 整

    2023年04月14日
    浏览(47)
  • Spring Boot 中如何使用 Swagger

    在开发 Web 应用时,API 文档的编写和维护是一项非常重要的工作。Swagger 是一款非常流行的 API 文档工具,可以自动生成 API 文档,并提供一系列的交互式工具,如测试界面、调试界面等,方便开发者进行 API 的调试和测试。本文将介绍如何在 Spring Boot 应用中使用 Swagger。 首先

    2024年02月11日
    浏览(43)
  • spring boot 集成 swagger3

              Swagger 3是一种开源的API描述工具,它可以帮助开发人员设计、构建、文档化和测试API。Swagger 3支持多种编程语言和框架,包括Java、Node.js、Python、Ruby等,并提供了许多集成工具和插件,例如Postman、Apigee等。 Swagger 3使用OpenAPI规范来描述API,这是一种通用的API描述

    2024年02月06日
    浏览(42)
  • Spring Boot 整合 Swagger2 纠错

            因为我要建立的是微服务的项目,需要建立许多模块,以至于我在父工程中引入了当前模块,然后我在子模块中又引入了当前模块,造成了冲突。         另外一种解决方法是,经过上网查证,可能由于Spring Boot和Swagger版本的问题,Spring Boot2.6以上的版本,需要使用

    2024年02月12日
    浏览(41)
  • swagger 2.10.5 整合 spring boot

    2024年02月11日
    浏览(41)
  • Spring Boot整合Spring Fox生成Swagger文档

    Springfox是一个用于在Spring应用程序中生成Swagger文档的开源库。它提供了一组注解和工具,可以将你的API代码和文档整合在一起,方便生成和展示API的Swagger文档。 使用Springfox,你可以在Spring Boot项目中集成Swagger,并通过Swagger UI查看和测试API。它提供了一些注解,如 @Api 、 @

    2024年02月08日
    浏览(44)
  • swagger关闭/v2/api-docs仍然可以访问漏洞

    今天接到安全团队的说swagger有未授权访问漏洞,即使在swagger关闭的情况下http://127.0.0.1:8086/agcloud/v2/api-docs?group=%E7%94%A8%E6%88%B7%E5%85%B3%E8%81%94%E4%BF%A1%E6%81%AF%E6%A8%A1%E5%9D%97仍然还能访问。 看了下原来是有写一个拦截器 断点之后发现是有生效的,/swagger-ui.html不能再访问,但是/v2/

    2024年02月09日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包