SpringBoot Actuator未授权访问

1、漏洞简介

Actuator是springboot提供的用来对应用系统进行自省和监控的功能模块，借助于Actuator开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在Actuator启用的情况下，如果没有做好相关权限控制，非法用户可通过访问默认的执行器端点（endpoints)来获取应用系统中的监控信息，从而导致信息泄漏设置服务器被接管的事件发生。

2、漏洞检测

直接访问相关路径：

http://10.2.20.48/autoconfig

请求方式	url路径	功能描述
get	/autoconfig	提供了一份自动配置报告，记录哪些自动配置条件通过了，哪些没通过
get	/configprops	描述配置属性（包含默认值）如何注入Bean
get	/beans	描述应用程序上下文里全部的Bean，以及它们的关系
get	/dump	获取线程活动的快照
get	/env	获取全部环境属性
get	/env/{name}	根据名称获取特定的环境属性值
get	/health	报告应用程序的健康指标，这些值由info打头的属性提供
get	/mappings	描述全部的URI路径，以及它们和控制器（包含Actuator端点）的映射关系
get	/info	获取应用程序的定制信息，这些信息由info打头的属性提供
get	/metrics	报告各种应用程序度量信息，比如内存用量和HTTP请求计数
get	/metrics/{name}	报告指定名称的应用程序度量值
post	/shutdown	关闭应用程序，要求endpoints.shutdown.enabled设置为true(默认为false)
get	/trace	提供呢基本的HTTP请求跟踪信息（时间戳、HTTP头等）

3、漏洞修复

• 禁用/env接口；

• 升级到SpringBoot Actator 2.0;

• 禁止对外开放；