Reino: Security Features
Segurança de software não é o mesmo que software de segurança. Aqui, estamos interessados em tópicos como autenticação, controle de acesso, confidencialidade, criptografia e gestão de privilégios.
Spring Boot Misconfiguration: Actuator Endpoint Security Disabled
Abstract
O aplicativo Spring Boot usa pontos de extremidade do atuador que não requerem autenticação.
Explanation
Os aplicativos Spring Boot podem ser configurados para implantar Atuadores, que são terminais REST que permitem aos usuários monitorar diferentes aspectos do aplicativo. Existem diferentes atuadores integrados que podem expor dados confidenciais e são rotulados como "confidenciais". Por padrão, todos os endpoints HTTP confidenciais são protegidos de forma que apenas os usuários que têm uma função
Este aplicativo está desativando o requisito de autenticação para endpoints confidenciais:
Exemplo 1:
Ou marcando endpoints como não confidenciais:
Exemplo 2:
Ou um atuador personalizado está definido como não confidencial:
ACTUATOR podem acessá-los.Este aplicativo está desativando o requisito de autenticação para endpoints confidenciais:
Exemplo 1:
management.security.enabled=false
Ou marcando endpoints como não confidenciais:
Exemplo 2:
endpoints.health.sensitive=false
Ou um atuador personalizado está definido como não confidencial:
@Component
public class CustomEndpoint implements Endpoint<List<String>> {
public String getId() {
return "customEndpoint";
}
public boolean isEnabled() {
return true;
}
public boolean isSensitive() {
return false;
}
public List<String> invoke() {
// Custom logic to build the output
...
}
}
References
[1] Spring Boot Reference Guide Spring
[2] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[3] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[4] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[5] Standards Mapping - OWASP Top 10 2010 A6 Security Misconfiguration
[6] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[7] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[8] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[9] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)
desc.config.java.spring_boot_misconfiguration_actuator_endpoint_security_disabled