Spring Boot 2中actuator和H2資料庫別名暴露遠端執行程式碼漏洞 — spaceraccoon.dev

banq發表於2020-01-16

公開/actuator/env和/actuator/restart端點(這在開發環境中很常見),開發人員將其應用程式置於執行遠端程式碼的風險中。當然,如果應用程式在本地執行,這將不是問題,但是可以想象,在原型設計期間粗心的開發人員將其放置在公共IP上並不是一件容易的事。

點選標題見本文詳細分析,通過本文和相關文章進行討論的一個共同主題是,開發人員可以輕鬆地在不知道的情況下在程式碼中引入嚴重漏洞。actuator和H2資料庫是加速開發和原型製作的有用工具,但是預設情況下,執行器和H2資料庫暴露給它們會建立一個遠端執行程式碼漏洞。

相關文章