Springboot Actuator未授权访问漏洞

参考博客： https://blog.csdn.net/m0_57042151/article/details/126719041

漏洞概述：

Actuator 是 Springboot 提供的用来对应用系统进行 自省和监控的功能模块，借助于 Actuator ，开发者可以很方便地对应用系统的某些监控指标进行查 看、统计等。在 Actuator 启用的情况下，如果没有做好相关权限控制，非法用户可通过访问默认的执行器端点（ endpoints ）来获取应用系统中的监控信息。

在浏览器中输入 ip:port/actuator/env 非法用户可通过访问默认的执行器端点（ endpoints ）来获取应用系统中的监控信息。

修改yml配置

方法一：

management:
  endpoints:
    web:
      exposure:
         exclude: env,heapdump,threaddump,mappings

方法二：完全禁用Actuator

management:
  server:
    port: -1

再去访问，页面就显示空白。