Reino: Security Features
Segurança de software não é o mesmo que software de segurança. Aqui, estamos interessados em tópicos como autenticação, controle de acesso, confidencialidade, criptografia e gestão de privilégios.
Spring Boot Misconfiguration: Shutdown Actuator Endpoint Enabled
Abstract
O Spring Boot Shutdown Actuator está habilitado e pode permitir que os usuários desliguem o aplicativo.
Explanation
O Shutdown Actuator permite que usuários autenticados desliguem o aplicativo. Mesmo que seja configurado por padrão como um endpoint confidencial e, portanto, a autenticação seja necessária para usar este endpoint, não é uma boa prática habilitá-lo sem um motivo forte, pois as credenciais podem ser fracas ou a configuração do aplicativo pode ser modificada para sinalizar o atuador como não confidencial.
Exemplo 1: Um aplicativo Spring Boot é configurado para implantar o desligamento do atuador:
Exemplo 1: Um aplicativo Spring Boot é configurado para implantar o desligamento do atuador:
endpoints.shutdown.enabled=true
References
[1] Spring Boot Reference Guide Spring
[2] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[3] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[4] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls
[5] Standards Mapping - OWASP Top 10 2010 A6 Security Misconfiguration
[6] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[7] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[8] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[9] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)
desc.config.java.spring_boot_misconfiguration_shutdown_actuator_endpoint_enabled