Reino: Security Features
La seguridad de un software no es un software de seguridad. Nos preocupamos de cuestiones como la autenticación, el control de acceso, la confidencialidad, la criptografía y la gestión de privilegios.
Spring Boot Misconfiguration: Actuator Endpoint Security Disabled
Abstract
La aplicación de Spring Boot utiliza puntos finales de actuador que no requieren autenticación.
Explanation
Las aplicaciones de Spring Boot se pueden configurar para implementar actuadores, que son puntos finales REST que permiten a los usuarios supervisar diferentes aspectos de la aplicación. Hay diferentes actuadores integrados que pueden exponer datos confidenciales y están etiquetados como "sensibles". De forma predeterminada, todos los puntos finales HTTP sensibles están protegidos de modo que solo los usuarios con el rol
Esta aplicación está deshabilitando el requisito de autenticación de puntos finales sensibles:
Ejemplo 1:
O marcando los puntos finales sensibles como no sensibles:
Ejemplo 2:
O bien, un actuador personalizado está establecido como no sensible:
ACTUATOR pueden acceder a ellos.Esta aplicación está deshabilitando el requisito de autenticación de puntos finales sensibles:
Ejemplo 1:
management.security.enabled=false
O marcando los puntos finales sensibles como no sensibles:
Ejemplo 2:
endpoints.health.sensitive=false
O bien, un actuador personalizado está establecido como no sensible:
@Component
public class CustomEndpoint implements Endpoint<List<String>> {
public String getId() {
return "customEndpoint";
}
public boolean isEnabled() {
return true;
}
public boolean isSensitive() {
return false;
}
public List<String> invoke() {
// Custom logic to build the output
...
}
}
References
[1] Spring Boot Reference Guide Spring
[2] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[3] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[4] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[5] Standards Mapping - OWASP Top 10 2010 A6 Security Misconfiguration
[6] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[7] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[8] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[9] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)
desc.config.java.spring_boot_misconfiguration_actuator_endpoint_security_disabled