Springboot Actuator未授权访问漏洞

Springboot Actuator未授权访问漏洞

Actuator是springboot提供的用来对应用系统进行自省和监控的功能模块，借助于Actuator开发者可以很方便地对应用系统某些监控指标进行查看、统计等。在Actuator启用的情况下，如果没有做好相关权限控制，非法用户可通过访问默认的执行器端点(endpoints)来获取应用系统中的监控信息，从而导致信息泄露甚至服务器被接管的事件发生

1、使用以下Fofa语句搜索资产并打开页面访问

2、当web应用程序出现4xx、5xx错误时显示类似以下页面就能确定当前web应用是使用了springboot框架

3、拼接以下路径查看泄漏的数据