Reino: Security Features
La seguridad de un software no es un software de seguridad. Nos preocupamos de cuestiones como la autenticación, el control de acceso, la confidencialidad, la criptografía y la gestión de privilegios.
Spring Boot Misconfiguration: Shutdown Actuator Endpoint Enabled
Abstract
Spring Boot Shutdown Actuator está habilitado y puede permitir a los usuarios cerrar la aplicación.
Explanation
El actuador de apagado permite a los usuarios autenticados cerrar la aplicación. Aunque está configurado de forma predeterminada como un punto final sensible y, por lo tanto, se necesita autenticación para usarlo, no es recomendable habilitarlo sin una razón sólida, ya que las credenciales pueden ser débiles o la configuración de la aplicación se puede modificar para marcar el actuador como no sensible.
Ejemplo 1: Una aplicación de Spring Boot está configurada para implementar el actuador de apagado:
Ejemplo 1: Una aplicación de Spring Boot está configurada para implementar el actuador de apagado:
endpoints.shutdown.enabled=true
References
[1] Spring Boot Reference Guide Spring
[2] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[3] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[4] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[5] Standards Mapping - OWASP Top 10 2010 A6 Security Misconfiguration
[6] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[7] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[8] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[9] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)
desc.config.java.spring_boot_misconfiguration_shutdown_actuator_endpoint_enabled