Spring Boot Actuator 引发的安全问题

 HW 行动开始了，最近也是被各种安全漏洞搞的特别闹心，一周能收到几十封安全团队扫描出来的漏洞邮件，这其中有一类漏洞很容易被人忽视，但影响面却极广，危害也极大，我说出它的名字你应该也不会感到陌生，正是 Spring Boot Actuator 。

写这篇文章前，我跟我的朋友做了一个小调查，问他们对 Spring Boot Actuator 的了解，结果惊人的一致，大家都知道 Spring Boot 提供了 spring-boot-starter-actuator 的自动配置，但却很少有人真正用到它相关的特性。在继续往下面看这篇文章时，大家也可以先思考下几个问题：

1. 检查下你开发的项目中有引入 spring-boot-starter-actuator 依赖吗?
2. 你在项目中有真正用到 spring-boot-starter-actuator 的有关功能吗?
3. 你知道 spring-boot-starter-actuator 的安全风险和正确配置方式吗?

Spring Boot Actuator 是什么?

好久没翻过 spring 的文档了，为了解释这个还算陌生的名词 Actutor，我特地去翻了下它的文档，找到了官方的定义

Definition of Actuator

An actuator is a manufacturing term that refers to a mechanical device for moving or controlling something. Actuators can generate a large amount of motion from a small change.

好家伙，看了等于白看，以我 CET-6 的水平，理解这段话着实有点难度，希望能有英语比较好的同学帮我翻译下。只能按照我个人对 Spring Boot Actuator 功能的理解来意译下了：我们可以借助于 Spring Boot Actuator 来对 Spring Boot 应用的健康状态、环境配置、Metrics、Trace、Spring 上下文等信息进行查看，除了一系列查看功能之外，它还实现了 Spring Boot 应用的上下线和内存 dump 功能。

Quick Start

第一步 引入依赖

tips：spring-boot-starter-actuator 在不同版本 Spring Boot 中有一定的配置差异，本文采用的是目前最新的 2.4.4 版本了解 endpoint 的 enable 和 exposure 状态

Spring Boot Actuator 针对于所有 endpoint 都提供了两种状态的配置

• enabled 启用状态。默认情况下除了 shutdown 之外，其他 endpoint 都是启用状态。这也很好理解，其他 endpoint 基本都是查看行为，shutdown 却会影响应用的运行状态。
• exposure 暴露状态。endpoint 的 enabled 设置为 true 后，还需要暴露一次，才能够被访问，默认情况下只有 health 和 info 是暴露的。

enabled 不启用时，相关的 endpoint 的代码完全不会被 Spring 上下文加载，所以 enabled 为 false 时，exposure 配置了也无济于事。

几个典型的配置示例如下

启用并暴露所有 endpoint

（编辑：济南站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!