계: Security Features
소프트웨어 보안은 보안 소프트웨어가 아닙니다. 여기서는 인증, 액세스 제어, 기밀성, 암호화, 권한 관리 등의 항목에 대해 설명합니다.
Spring Boot Misconfiguration: Shutdown Actuator Endpoint Enabled
Abstract
Spring Boot Shutdown Actuator가 활성화되어 있어 사용자가 응용 프로그램을 종료하는 것이 허용될 수 있습니다.
Explanation
Shutdown Actuator를 사용하면 인증된 사용자가 응용 프로그램을 종료할 수 있습니다. 이 끝점은 기본적으로 민감한 끝점으로 구성되어 있으므로 사용하려면 인증이 필요하지만 자격 증명이 약한 경우가 있거나 액추에이터에 민감하지 않은 것으로 플래그를 지정하도록 응용 프로그램 구성이 수정될 수 있으므로 강력한 이유 없이 활성화하는 것은 좋은 방법이 아닙니다.
예제 1: Spring Boot 응용 프로그램이 Shutdown Actuator를 배포하도록 구성되어 있습니다.
예제 1: Spring Boot 응용 프로그램이 Shutdown Actuator를 배포하도록 구성되어 있습니다.
endpoints.shutdown.enabled=true
References
[1] Spring Boot Reference Guide Spring
[2] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[3] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[4] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[5] Standards Mapping - OWASP Top 10 2010 A6 Security Misconfiguration
[6] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[7] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[8] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[9] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)
desc.config.java.spring_boot_misconfiguration_shutdown_actuator_endpoint_enabled