Spring Boot Actuator敏感信息泄露

[lhhgh]

pig版本：4.4.0
通过地址：http://124.70.102.185:8080/act/%61%63%74%75%61%74%6f%72 可以直接获取配置信息
请问：如何解决此漏洞

[lhhgh]

Sentinel和Monitor两个服务都没有启动

[lltx]

[lhhgh]

这个配置一直加着的，还是有这个漏洞。

[hello-noob]

url编码绕过，解决方案：
spring boot关闭actuator路径
正常情况下，如果为了安全，可以使用如下配置关闭监控端点：
management:
endpoints:
enabled-by-default: false之后访问如health，info等端点，就会报404了，但是如果单纯的访问/actuator路径，还是会有一些信息返回的，这样至少说明了/actuator路径是可以访问的，此时如果有严格的安全渗透测试，很可能安全检测就不通过了。
可以使用如下配置直接禁用监控HTTP端点:
management:
server:
port: -1因为http端口的范围是：1～65535，因此-1是访问不了的。
此时再访问/actuator路径，结果也是404了。