配置不当引起高危漏洞?看加密货币交易所如何正确用Spring Boot Actuaotr框架

栏目: Java · 发布时间: 5年前

内容简介:Spring boot的优势为很多开发者所知悉:轻量级、代码量减少、模块化等等,因此被区块链行业中的许多交易所使用。然而match,如果开发配置不当,可能会存在系统高危漏洞,一个小小的细节出错都会导致重大的安全事故。现有不少交易所开发者为了更高效快速的部署和监控Web应用,都采用了Spring Boot 框架进行微服务开发,由于该框架使用了特定的方式来进行配置,使开发人员不再需要定义样板化的配置,从而更加高效快速的部署项目。在Spring Boot当中,Actuaotr是Spring Boot项目中非常强

Spring boot的优势为很多开发者所知悉:轻量级、代码量减少、模块化等等,因此被区块链行业中的许多交易所使用。然而match,如果开发配置不当,可能会存在系统高危漏洞,一个小小的细节出错都会导致重大的安全事故。

多家加密货币交易所使用spring boot用以提高开发效率

现有不少交易所开发者为了更高效快速的部署和监控Web应用,都采用了Spring Boot 框架进行微服务开发,由于该框架使用了特定的方式来进行配置,使开发人员不再需要定义样板化的配置,从而更加高效快速的部署项目。

Spring Boot使用Actuaotr进行更好的健康的监控

在Spring Boot当中,Actuaotr是Spring Boot项目中非常强大的一个功能,有助于对应用程序进行监控和管理,通过restful api请求来监管、审计、收集应用的运行情况,通过Actuator可以在生产环境监控当前应用的健康,虚拟机等信息,通过前端以可视化的界面展示出来,针对微服务而言它是一个必不可少的环节。

行业开发者安全意识的缺乏导致用户信息泄露甚至造成经济损失

随着区块链3.0的发展,一些开发者的安全意识比较薄弱,在配置Actuaotr监控端点时,配置不当可能导致系统应用配置信息、度量指标信息泄露等严重安全问题,其中trace路径下动态记录了最近的100条请求记录信息,请求信息中包含了用户认证字段数据,可通过更替认证字段任意操作用户数据,由此几乎可威胁所有用户数据安全。

例如在传统行业当中,全球的企业和政府组织每年需要为网络攻击造成的损失支付40亿美元。IBM的资料也显示,全球公司每年因数据泄露造成的平均损失从350万美元上升至380万美元,部分甚至上亿。

随着数据价值的提高,黑客越来越多地将攻击目标转向企业内部存留的用户、员工数据,当企业发生数据泄露,损失的不仅仅是经济利益。一旦企业发生数据泄露,损失的不仅仅是经济利益,更会给品牌形象带来严重的负面影响

DVP案例分解—配置Actuaotr不当造成的漏洞危害

2018年7月30日,DVP漏洞平台已经收到过关于Spring Boot Actuaotr配置不当导致敏感信息泄露的高危漏洞并且第一时间通报厂商。

配置不当引起高危漏洞?看加密货币交易所如何正确用Spring Boot Actuaotr框架

根据DVP安全研究员介绍:案例当中,攻击者可利用此配置不当,获取到网站的敏感信息和用户个人信息,甚至可通过这些接口控制用户的账号进行一系列的敏感操作。

以下链接是DVP 漏洞平台公开白帽子发现并演示此漏洞的详情。

https://dvpnet.io/info/detail/id/653

配置不当引起高危漏洞?看加密货币交易所如何正确用Spring Boot Actuaotr框架

如果开发人员配置不当,会导致黑客获取敏感数据。如:将接口暴露在公网上或者未配置限制访问,黑客可以使用以下的Actuator监控原生端点获取到一些网站的敏感数据。

Actuator 提供的接口,具体如下表所示:

配置不当引起高危漏洞?看加密货币交易所如何正确用Spring Boot Actuaotr框架

在黑客眼里这些端点的作用:

配置不当引起高危漏洞?看加密货币交易所如何正确用Spring Boot Actuaotr框架

DVP真实案例:通报后漏洞已修复完成的厂商漏洞拆解

攻击者通过访问 /env 端点获取到泄露的环境配置信息

配置不当引起高危漏洞?看加密货币交易所如何正确用Spring Boot Actuaotr框架 配置不当引起高危漏洞?看加密货币交易所如何正确用Spring Boot Actuaotr框架

通过此接口获取用户请求中携带的认证信息或者cookie来获取用户的敏感信息

配置不当引起高危漏洞?看加密货币交易所如何正确用Spring Boot Actuaotr框架 配置不当引起高危漏洞?看加密货币交易所如何正确用Spring Boot Actuaotr框架

还可以通过获取到这些用户敏感信息直接登录用户账号

配置不当引起高危漏洞?看加密货币交易所如何正确用Spring Boot Actuaotr框架

攻击者通过访问 /configprops 端点获取到应用中配置的属性信息报告

配置不当引起高危漏洞?看加密货币交易所如何正确用Spring Boot Actuaotr框架

攻击者通过访问 /dump 端点获取到程序运行中的线程信息

配置不当引起高危漏洞?看加密货币交易所如何正确用Spring Boot Actuaotr框架

攻击者通过访问 /autoconfig 端点获取到泄露应用的自动化配置报告,包括所有自动化配置的候选项。同时还列出了每个候选项自动化配置的各个先决条件是否满足。

配置不当引起高危漏洞?看加密货币交易所如何正确用Spring Boot Actuaotr框架

攻击者通过访问 /beans 端点获取到泄露的应用上下文中创建的所有Bean

配置不当引起高危漏洞?看加密货币交易所如何正确用Spring Boot Actuaotr框架

漏洞修复

通过DVP提供的真实案例可以看出,如果以上请求接口不做任何安全限制暴露在公网上的话, 极有可能引起严重的用户信息泄露问题。

不过Spring Boot提供安全限制功能,只要在部署的时候配置好相应的配置即可。

1、增加账号密码访问

在application.properties中指定actuator的端口以及开启security功能,配置访问权限验证,这时再访问actuator功能时就会弹出登录窗口,需要输入账号密码验证后才允许访问

2、禁用接口

比如要禁用/env接口,则可设置如下:

endpoints.env.enabled= false

如果只想对外开放部分接口,那就先禁用全部接口,然后启用需要的接口

endpoints.enabled = false

endpoints.metrics.enabled = true

同时可设置单独的Actuator管理端口并配置不对外网开放。

参考:https://xz.aliyun.com/t/2233


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

人月神话(40周年中文纪念版)

人月神话(40周年中文纪念版)

(美) 布鲁克斯(Brooks, F. P.) 著 / UML China翻译组,汪颖 译 / 清华大学出版社 / 2015-4-1 / 68.00元

在软件领域,很少能有像《人月神话》一样具有深远影响力和畅销不衰的著作。Brooks博士为人们管理复杂项目提供了最具洞察力的见解,既有很多发人深省的观点,又有大量软件工程的实践。本书内容来自Brooks博士在IBM公司SYSTEM/360家族和OS/360中的项目管理经验,该项目堪称软件开发项目管理的典范。该书英文原版一经面世,即引起业内人士的强烈反响,后又译为德、法、日、俄、中、韩等多种文字,全球......一起来看看 《人月神话(40周年中文纪念版)》 这本书的介绍吧!

URL 编码/解码
URL 编码/解码

URL 编码/解码

MD5 加密
MD5 加密

MD5 加密工具

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具