Spring Boot Misconfiguration: Actuator Endpoint Security Disabled

Java/JSP

Abstract

이 Spring Boot 응용 프로그램은 인증이 필요하지 않은 Actuator 끝점을 사용합니다.

Explanation

Spring Boot 응용 프로그램은 사용자가 응용 프로그램의 다양한 측면을 모니터링하는 데 사용될 수 있는 REST 끝점인 Actuator를 배포하도록 구성될 수 있습니다. 민감한 데이터를 노출할 수 있고 "민감한" 것으로 레이블이 지정된 다양한 기본 제공 엑추에이터가 있습니다. 기본적으로 모든 민감한 HTTP 끝점은 ACTUATOR 역할을 가진 사용자만 액세스할 수 있도록 보호됩니다.

이 응용 프로그램은 민감한 끝점에 대한 인증 요구 사항을 비활성화합니다.

예제 1:


management.security.enabled=false

또는 민감한 끝점을 민감하지 않은 것으로 표시합니다.

예제 2:


endpoints.health.sensitive=false

또는 사용자 지정Actuator가 민감하지 않은 것으로 설정됩니다.


@Component
public class CustomEndpoint implements Endpoint<List<String>> {

    public String getId() {
        return "customEndpoint";
    }

    public boolean isEnabled() {
        return true;
    }

    public boolean isSensitive() {
        return false;
    }

    public List<String> invoke() {
        // Custom logic to build the output
        ...
    }
}

References

[1] Spring Boot Reference Guide Spring

[2] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[3] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration

[4] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls

[5] Standards Mapping - OWASP Top 10 2010 A6 Security Misconfiguration

[6] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration

[7] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration

[8] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration

[9] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)

desc.config.java.spring_boot_misconfiguration_actuator_endpoint_security_disabled