界: Security Features
ソフトウェアのセキュリティは、セキュリティ ソフトウェアではありません。ここでは、認証、アクセス制御、機密性、暗号化、権限管理などのトピックについて説明します。
Spring Boot Misconfiguration: Actuator Endpoint Security Disabled
Abstract
Spring Boot アプリケーションは、認証を必要としない Actuator エンドポイントを使用します。
Explanation
Spring Boot アプリケーションは、アプリケーションのさまざまな側面を監視するための REST エンドポイントである Actuator をデプロイするように設定できます。機密データを公開する可能性がある各種の組み込み Actuator があり、それらは "機密" であることがわかるラベルが付いています。デフォルトでは、機密性の高いすべての HTTP エンドポイントは、
このアプリケーションは、機密性の高いエンドポイントの認証要件を無効にしています。
例 1:
または、機密性の高いエンドポイントを機密性が高くないものとしてマークしています。
例 2:
または、カスタムの Actuator が、機密性が高くないものとして設定されています。
ACTUATOR ロールを持つユーザーのみにアクセスを許可することで保護されています。このアプリケーションは、機密性の高いエンドポイントの認証要件を無効にしています。
例 1:
management.security.enabled=false
または、機密性の高いエンドポイントを機密性が高くないものとしてマークしています。
例 2:
endpoints.health.sensitive=false
または、カスタムの Actuator が、機密性が高くないものとして設定されています。
@Component
public class CustomEndpoint implements Endpoint<List<String>> {
public String getId() {
return "customEndpoint";
}
public boolean isEnabled() {
return true;
}
public boolean isSensitive() {
return false;
}
public List<String> invoke() {
// Custom logic to build the output
...
}
}
References
[1] Spring Boot Reference Guide Spring
[2] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[3] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[4] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[5] Standards Mapping - OWASP Top 10 2010 A6 Security Misconfiguration
[6] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[7] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[8] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[9] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)
desc.config.java.spring_boot_misconfiguration_actuator_endpoint_security_disabled