发表新帖
发表新帖

关于blade-auth/actuator/env接口未授权访问能暴露敏感配置信息问题,可能会被信息窃取以及黑客攻击

Blade 未结
关注 举报
1 463
yoeaki
yoeaki 剑者 2023-03-30 09:15

微服务版本:blade3.0.1

最近在接口扫描发现bladex微服务版本中有一些接口在未授权的情况下能够访问,并获取到敏感信息,这些敏感信息将会造成数据丢失和黑客攻击。

请求api如下:http://192.168.xxx.xxx/blade-auth/actuator/env
获取到的内容信息如下:redis连接信息、mysql连接信息、minio配置信息、第三方登录配置、白名单接口等信息。发现这些信息都来自于ymal配置文件中,请问,这个接口有什么作用,为什么不关闭这样的接口? 我相信很多已经部署的网站应该也出现这样的问题,希望作者重视这个问题,并且给出解决的建议。

如果有发现这个问题的朋友,建议先把服务关闭,修复后再上线。否则信息可能会被黑客攻击,导致数据丢失。

一下是部分截图:

image.png

1条回答
  • yoeaki
    2023-03-30 10:03

    解决方法:如果使用nginx的,在nginx中配置拦截/actuator访问的路径,
    一定要检查自己的项目nginx有没有配置,如果没有就可能存在信息泄漏。

    0 讨论(0)
 看不清?
提交回复
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方推荐
阿里云服务器限时1折优惠
热议问题
sql注入风险漏洞 1
数据权限控制为啥不起作用 2
为什么要liteflow 1
商业版4.0+版本这个token现在怎么使用啊,按照文档配置报错,急 1
auth服务起了2个实例的情况下,授权码模式下授权码会偶尔报错 1
代码生成,出现创建IDatabaseQuery实例出现错误: 1
BladeX-Boot-master 最新项目启动报错 1
如何将请求超时时间设置为1分钟呢?在哪里设置 1
修改blade-log服务的服务名 1
在A系统中如何实现将本框架开发的页面(只限操作区域)嵌套进去 1
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2024 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号