Hi 游客

更多精彩,请登录!

比特池塘 区块链技术 正文
Spring boot的优势为很多开发者所知悉:轻量级、代码量减少、模块化等等,因此被区块链行业中的许多交易所使用。然而match,如果开发配置不当,可能会存在系统高危漏洞,一个小小的细节出错都会导致重大的安全事故。
8 ?# _! o8 ]3 P+ D7 Q) r4 r1 }/ Q: S6 ], }3 }& y7 B) K
多家加密货币交易所使用spring boot用以提高开发效率
4 f9 C% j; a, f0 g0 k, A7 O/ q1 T: s. w2 e( E
现有不少交易所开发者为了更高效快速的部署和监控Web应用,都采用了Spring Boot 框架进行微服务开发,由于该框架使用了特定的方式来进行配置,使开发人员不再需要定义样板化的配置,从而更加高效快速的部署项目。
" w( }9 Z- a5 k5 [/ N5 N9 @8 R9 @: G! d/ ~4 L. f3 K
Spring Boot使用Actuaotr进行更好的健康的监控
' n4 y3 k, [9 x" z$ Y0 ?5 \: P2 D. v' {# Y" u
在Spring Boot当中,Actuaotr是Spring Boot项目中非常强大的一个功能,有助于对应用程序进行监控和管理,通过restful api请求来监管、审计、收集应用的运行情况,通过Actuator可以在生产环境监控当前应用的健康,虚拟机等信息,通过前端以可视化的界面展示出来,针对微服务而言它是一个必不可少的环节。. G" C- L: k. k8 Z( W( @

8 k( i* J9 n/ c+ ~8 u; ^' S行业开发者安全意识的缺乏导致用户信息泄露甚至造成经济损失
0 v, I) q2 t1 ^5 z; L
6 ?0 p* n6 g2 }7 C8 @随着区块链3.0的发展,一些开发者的安全意识比较薄弱,在配置Actuaotr监控端点时,配置不当可能导致系统应用配置信息、度量指标信息泄露等严重安全问题,其中trace路径下动态记录了最近的100条请求记录信息,请求信息中包含了用户认证字段数据,可通过更替认证字段任意操作用户数据,由此几乎可威胁所有用户数据安全。
: d# `0 x6 a0 `3 |7 z9 H+ r
: v$ n; R5 O. b/ g# ?例如在传统行业当中,全球的企业和政府组织每年需要为网络攻击造成的损失支付40亿美元。IBM的资料也显示,全球公司每年因数据泄露造成的平均损失从350万美元上升至380万美元,部分甚至上亿。- p9 y1 v# }& o4 d" ~8 F  H) h' ?
" P  ~& }' ~4 l
随着数据价值的提高,黑客越来越多地将攻击目标转向企业内部存留的用户、员工数据,当企业发生数据泄露,损失的不仅仅是经济利益。一旦企业发生数据泄露,损失的不仅仅是经济利益,更会给品牌形象带来严重的负面影响
1 H" P" z/ w5 W7 @/ H3 i3 k$ }1 V6 X# p2 Q$ }  A3 s# X8 A* V0 P
DVP案例分解—配置Actuaotr不当造成的漏洞危害
9 Y! n! j7 \/ q8 [5 p) V$ M2 i
- t* N+ m; q" k& S% Z& a6 ?8 M2018年7月30日,DVP漏洞平台已经收到过关于Spring Boot Actuaotr配置不当导致敏感信息泄露的高危漏洞并且第一时间通报厂商。
: u+ U2 q2 y- W2 |9 E: w
& d3 ?0 R3 w+ H& G5 B; m8 ?0 N6 G根据DVP安全研究员介绍:案例当中,攻击者可利用此配置不当,获取到网站的敏感信息和用户个人信息,甚至可通过这些接口控制用户的账号进行一系列的敏感操作。( Z. O- ^$ v, Q, B* {9 d$ R" `. D5 T

0 W- Y' r8 w. T( H% A! N以下链接是DVP 漏洞平台公开白帽子发现并演示此漏洞的详情,DVP平台在第一时间向厂商通报了此漏洞。
3 z+ ]7 a/ ?+ S) Q  J+ r! E/ W  \2 o. [
https://dvpnet.io/info/detail/id/653
& ]4 g- O0 l" ?$ y, R4 P6 c5 Z# F" K. V7 `# B$ X# o  k& s
如果开发人员配置不当,会导致黑客获取敏感数据。如:将接口暴露在公网上或者未配置限制访问,黑客可以使用以下的Actuator监控原生端点获取到一些网站的敏感数据。* |# M/ \9 M: y) i2 D- R0 s

+ P3 u) C3 j( FActuator 提供的接口,具体如下表所示:3 I1 R4 E# ?3 r& f1 z5 D' w
: ?; ?* ^0 L# _- I- D5 D4 U8 d
在黑客眼里这些端点的作用:
' I( x" ~1 d, O! r( N! d1 V: p+ m9 R0 Y% l% K; Y. Y
DVP真实案例:通报后漏洞已修复完成的厂商漏洞拆解
- ]" g! Y  Q" l" r5 R3 Y. A2 S) j# g# M% s2 Q0 S- W
攻击者通过访问 /env 端点获取到泄露的环境配置信息9 K* S3 U% q+ v" Q! z3 Y) I' P0 w
7 |$ c% I/ v. R: T5 p0 Y
通过此接口获取用户请求中携带的认证信息或者cookie来获取用户的敏感信息
, @8 c0 u& X5 K+ o' [  N2 ?( W
+ w8 k+ P3 V+ _/ Q$ O# J  z, r$ }还可以通过获取到这些用户敏感信息直接登录用户账号0 z3 D: m3 x  q# Z

5 A0 x3 o& Z; S& i+ w, L攻击者通过访问 /configprops 端点获取到应用中配置的属性信息报告3 B* P1 D' j3 g  q, I
4 I, m: |% H! ^7 T! I+ M
攻击者通过访问 /dump 端点获取到程序运行中的线程信息. n, y# n1 A+ S. x" q. M2 f. M

/ R+ U: p. P! C攻击者通过访问 /autoconfig 端点获取到泄露应用的自动化配置报告,包括所有自动化配置的候选项。同时还列出了每个候选项自动化配置的各个先决条件是否满足。8 w  h+ V- P' n0 L8 J
' b" M2 S; u; I, Z' W/ b' A3 y
攻击者通过访问 /beans 端点获取到泄露的应用上下文中创建的所有Bean) K" R  s% ?+ N

3 E8 v2 M- _6 R" q7 Q漏洞修复: K. [! o* X5 w+ B

: a* J0 T, z; S9 D0 u, S通过DVP提供的真实案例可以看出,如果以上请求接口不做任何安全限制暴露在公网上的话, 极有可能引起严重的用户信息泄露问题。
* r. i; p# B9 {& D& P' @! B6 w& i1 b9 o/ |! m7 A
不过Spring Boot提供安全限制功能,只要在部署的时候配置好相应的配置即可。
1 a: x( D+ @+ K
; i- P* n5 R1 x' m+ k: `9 ^7 c1 w1、增加账号密码访问6 o3 Y# I1 L' a& E
2 g4 H% `8 A  w: f9 s* b$ @6 y
在application.properties中指定actuator的端口以及开启security功能,配置访问权限验证,这时再访问actuator功能时就会弹出登录窗口,需要输入账号密码验证后才允许访问; s: \3 V, @1 N! @  ^

! T( _9 b$ J  L7 l/ O2、禁用接口
& B- }. i2 F( o8 j4 g" }+ e
  \% a, R+ F* `6 r, W% {" |. U& y/ C+ B比如要禁用/env接口,则可设置如下:" ^% A4 s7 B3 A# ~
$ M; {5 ?+ G6 u
endpoints.env.enabled= false# `- v1 F4 o  [6 o+ L" [
* Y; Z- B0 c% g" I& y# g
如果只想对外开放部分接口,那就先禁用全部接口,然后启用需要的接口
  h: \( M! H8 S( x! d1 L* v9 o+ G7 j. W% v, M" z. i- i! L! o
endpoints.enabled = false
3 `( A8 X) Y0 x/ Q: O  A& o
( w! Y4 R: ^) Q  C+ Wendpoints.metrics.enabled = true4 v  n# ^+ K# O! M3 x$ K
( s; [6 ]# i& y/ \' D
同时可设置单独的Actuator管理端口并配置不对外网开放。
BitMere.com 比特池塘系信息发布平台,比特池塘仅提供信息存储空间服务。
声明:该文观点仅代表作者本人,本文不代表比特池塘立场,且不构成建议,请谨慎对待。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

成为第一个吐槽的人

独孤客 小学生
  • 粉丝

    0

  • 关注

    0

  • 主题

    2