界: Security Features
ソフトウェアのセキュリティは、セキュリティ ソフトウェアではありません。ここでは、認証、アクセス制御、機密性、暗号化、権限管理などのトピックについて説明します。
Spring Boot Misconfiguration: Shutdown Actuator Endpoint Enabled
Abstract
Spring Boot Shutdown Actuator が有効になっており、ユーザーがアプリケーションをシャットダウンできる可能性があります。
Explanation
Shutdown Actuator は、認証済みユーザーによるアプリケーションのシャットダウンを許可します。このエンドポイントは、機密性の高いエンドポイントとしてデフォルトで設定されているため、使用には認証が必要ですが、やむを得ない理由がないかぎり有効にはしないでください。資格情報が弱い可能性があるほか、Actuator を機密性が高くないものとしてフラグ付けするようにアプリケーション設定を変更できるためです。
例 1: Spring Boot アプリケーションは、Shutdown Actuator をデプロイするように設定されています。
例 1: Spring Boot アプリケーションは、Shutdown Actuator をデプロイするように設定されています。
endpoints.shutdown.enabled=true
References
[1] Spring Boot Reference Guide Spring
[2] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[3] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[4] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[5] Standards Mapping - OWASP Top 10 2010 A6 Security Misconfiguration
[6] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[7] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[8] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[9] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)
desc.config.java.spring_boot_misconfiguration_shutdown_actuator_endpoint_enabled