Spring Boot 配置不当而暴露的路由¶
一、漏洞简介¶
主要是因为程序员开发时没有意识到暴露路由可能会造成安全风险,或者没有按照标准流程开发,忘记上线时需要修改/切换生产环境的配置
二、漏洞影响¶
三、复现过程¶
路由知识¶
- Spring Boot 1.x 版本默认内置路由的根路径以
/
开始,2.x 则统一以/actuator
开始 - 有些程序员会自定义
/manage
、/management
或 项目相关名称 为根路径 - 默认内置路由名字,如
/env
有时候也会被程序员修改,如修改成/appenv
trace
health
loggers
metrics
autoconfig
heapdump
threaddump
env
info
dump
configprops
mappings
auditevents
beans
jolokia
cloudfoundryapplication
hystrix.stream
actuator
actuator/auditevents
actuator/beans
actuator/health
actuator/conditions
actuator/configprops
actuator/env
actuator/info
actuator/loggers
actuator/heapdump
actuator/threaddump
actuator/metrics
actuator/scheduledtasks
actuator/httptrace
actuator/mappings
actuator/jolokia
actuator/hystrix.stream
其中对寻找漏洞比较重要接口的有:
-
/env
、/actuator/env
GET 请求
/env
会泄露环境变量信息,或者配置中的一些用户名,当程序员的属性名命名不规范 (例如 password 写成 psasword、pwd) 时,会泄露密码明文;同时有一定概率可以通过 POST 请求
/env
接口设置一些属性,触发相关 RCE 漏洞。 -
/jolokia
通过
/jolokia/list
接口寻找可以利用的 MBean,触发相关 RCE 漏洞; -
/trace
一些 http 请求包访问跟踪信息,有可能发现有效的 cookie 信息