产品安全漏洞说明及方案
01_产品安全漏洞说明及解决方案
02_第三方安全漏洞说明及解决方案

# 005_Spring Cloud Netflix SSRF漏洞说明及方案

# 漏洞说明

Spring Cloud Netflix,2.2.4之前的2.2.x版本,2.1.6之前的2.1.x版本以及较旧的不受支持的版本允许应用程序使用Hystrix Dashboard proxy.stream端点向服务器托管可访问的任何服务器发出请求仪表板。恶意用户或攻击者可以将请求发送到不应公开公开的其他服务器。

# 漏洞复现:

# 解决方案

governor 不用配置,governor调用的是turbine的接口,只需配置turbine,示例如下:

turbine中application.properties文件,配置如下 hystrix.dashboard.proxy-stream-allow-list: "localhost"

注意:允许的地址就配到这个list上,只配置允许的ip

基于MS5.0,MS5.2验证有效。

配置后效果如下:

006_http://IP:PORT/governor/heapdump敏感信息泄露