裸露 托管对象浏览器 例如端点 /mob 当应用程序部署时使用不安全的默认设置或薄弱的访问控制,就会造成高风险的安全问题。这些缺陷通常源于…… 安全配置错误 而且往往会升级 存取控制中断允许未经授权的用户检查内部应用程序对象和配置。
本公告描述了该问题,解释了攻击者如何利用该问题,并提供了与以下方面相符的具体缓解措施: OWASP A05:2021 – 安全配置错误.
受托管对象浏览器暴露影响的组件
- 应用程序公开 托管对象浏览器
- Java 和 enterprise 使用管理或调试端点的框架
- 环境
/mob开发之外仍保持开放状态 - 管理接口缺乏严格的基于角色的授权机制的系统
什么是托管对象浏览器?开发者为何使用它?
托管对象浏览器允许开发人员在开发或测试期间检查内部应用程序对象、服务或配置值。团队通常使用它来调试行为、验证运行时状态或更快地解决复杂问题。
当托管对象浏览器在开发阶段结束后仍然启用,或者在发布时缺乏适当的保护措施时,问题就会出现。很多情况下,开发人员会想当然地认为没有人知道这个端点的存在。然而,自动化扫描器和攻击者会主动搜索常见的管理路径,并且很容易就能发现它们。
因此,暴露的托管对象浏览器很快就会变成安全配置错误,尤其是在默认设置或薄弱的访问检查仍然存在的情况下。
安全配置错误如何使托管对象浏览器变得危险
安全配置错误是指系统运行在不安全的默认设置、不必要的功能或不一致的限制条件下。根据 OWASP A05:2021《安全配置错误》的定义,常见原因包括暴露的管理接口、缺少身份验证以及过于宽松的设置。
当涉及到托管对象浏览器时,这通常意味着:
- 生产环境中浏览器保持启用状态。
- 端点无需身份验证即可保护。
- 访问仅依赖于网络位置
- 调试设置保持激活状态
- 敏感内容以明文形式显示
因此,攻击者可以检查内部组件、配置值,有时甚至可以获取机密信息。所以,原本有用的调试工具反而变成了一个严重的安全漏洞。
访问控制失效的问题就出在这里。
即使团队添加了身份验证,访问控制失效的问题仍然经常出现。例如,应用程序可能允许任何已登录用户访问托管对象浏览器,而不管其角色或权限级别如何。
这会造成典型的访问控制故障,例如:
- 管理员功能缺少角色检查
- 信任客户端限制而非后端强制执行。
- 不安全的直接对象访问
- 跨环境共享凭据
实际上,低权限用户可以浏览内部对象,原因很简单,后端根本没有强制执行正确的授权机制。因此,访问控制失效会加剧安全配置错误的影响,并增加严重安全漏洞的风险。
为什么 OWASP A05:2021 安全配置错误会凸显这种模式
OWASP 安全配置错误被列为最常见且可预防的风险之一。此类别明确涵盖暴露的管理接口和未关闭的不必要功能。
存在漏洞的托管对象浏览器完美符合这种模式。它结合了不安全的默认设置和缺失的限制,再加上失效的访问控制,往往会导致系统完全被攻破。正因如此,OWASP 一直强调这些漏洞是开发人员和安全团队的首要任务。
当托管对象浏览器在开发阶段结束后仍然启用,或者在发布时缺乏适当的保护措施时,问题就会出现。很多情况下,开发人员会想当然地认为没有人知道这个端点的存在。然而,自动化扫描器和攻击者会主动搜索常见的管理路径,并且很容易就能发现它们。
因此,暴露的托管对象浏览器很快就会变成安全配置错误,尤其是在默认设置或薄弱的访问检查仍然存在的情况下。
托管对象浏览器和 /mob 端点
托管对象浏览器允许开发人员检查运行时对象、服务和配置,以便进行调试或管理。团队通常会在开发期间临时启用它。但是,当应用程序发布时,托管对象浏览器通常会被关闭。 /mob 它仍然处于活动状态,这会造成不必要的危险攻击面。
这种风险通常是由安全配置错误造成的,包括不安全的默认设置、缺失的环境限制或遗留的调试功能。当后端授权逻辑未能强制执行严格的角色检查时,访问控制失效会进一步加剧这种风险。
根据 OWASPOWASP A05:2021 – 安全配置错误明确指出,暴露的管理接口和不必要的功能是造成安全漏洞的常见根本原因。
利用 /mob 端口攻击托管对象浏览器的攻击场景
典型的攻击流程遵循可预测的模式:
- 攻击者会扫描常见的管理路径,例如
/mob - 服务器响应并提供一个可访问的托管对象浏览器。
- 攻击者列举内部服务并 托管对象
- 敏感配置或逻辑变得可见
- 攻击者通过暴露的功能扩大影响范围。
这种攻击不需要任何高级技术手段,它利用的是生产系统中常见的配置错误。
不安全的配置导致安全配置错误
以下配置公开了 /mob 没有保护措施,并且侵犯了 OWASP A05:2021 指导。
# Insecure configuration
mob.enabled=true
mob.path=/mob
mob.auth.required=false
影响:
- 该应用程序在所有环境中都公开了一个托管对象浏览器。
- 端点未接受任何身份验证或授权保护。
- 任何发现该路径的用户都可以浏览内部对象。
安全配置以防止托管对象在浏览器中暴露
安全的做法是默认禁用该功能,并在必要时严格限制访问权限。
# Secure configuration
mob.enabled=false
spring.profiles.active=dev
如果业务需要 /mob 在受控环境下,应严格限制:
mob.enabled=true
mob.path=/internal/mob
mob.auth.required=true
mob.allowed.roles=ADMIN
这种配置可以减少攻击面,符合安全配置错误预防的最佳实践。
访问控制故障示例
即使启用了身份验证,后端逻辑也必须显式地强制执行授权。
不安全的访问控制
@GetMapping("/mob")
public ResponseEntity<?> showMob() {
return ResponseEntity.ok(mobService.getObjects());
}
此代码允许任何已认证或未认证的用户访问托管对象浏览器。
安全访问控制
@PreAuthorize("hasRole('ADMIN')")
@GetMapping("/mob")
public ResponseEntity<?> showMob() {
return ResponseEntity.ok(mobService.getObjects());
}
无论前端行为如何,此实现都能强制执行正确的授权并防止访问控制失效。
访问控制失效的影响
暴露的托管对象浏览器可能导致:
- 披露内部申请结构
- 配置值或密钥泄露
- 通过内部服务提升权限
- 系统全面沦陷的可能性增加
由于这些故障是安全配置错误和访问控制失效共同作用的结果,因此往往会造成严重的后果。
访问控制失效缓解指南
开发者应采取以下措施:
- 默认禁用托管对象浏览器功能
- 将管理端点限制在开发或隔离环境中
- 强制执行后端基于角色的授权
- 从生产版本中移除调试和管理功能。
- 定期检查各环境的配置
这些措施直接降低了 OWASP A05:2021 下的风险暴露。
Xygeni 如何检测和阻止托管对象浏览器
Xygeni 帮助团队解决 托管对象浏览器 通过及早解决配置和访问控制问题来降低风险。
检测安全配置错误
Xygeni 会扫描代码、配置文件和基础架构定义,以识别暴露的管理端点,例如: /mob这包括在部署前检测调试标志、管理功能和不安全的默认值。
查找代码中损坏的访问控制
西吉尼 SAST 它能识别敏感端点周围缺失的授权检查,并突出显示后端逻辑未能强制执行角色、权限或对象级访问控制的情况。
预防CI中的暴露 IaC
By 扫描 CI pipelines 以及 IaC 模板Xygeni 确保管理端点不会在生产环境中启用。
利用情境降低风险
Xygeni 并没有向团队发送大量警报,而是…… 优先考虑能够揭露真实攻击路径的调查结果帮助开发者优先解决重要问题。
总结
通过托管对象浏览器公开 /mob 这是一个安全配置错误和访问控制失效交织在一起的典型案例。原本有助于调试的功能,很快就变成了严重的安全漏洞。
OWASP A05:2021 提醒我们,这些故障仍然是最常见且最可预防的故障之一。通过适当的自动化和可视性,开发人员可以及早发现这些故障,避免将内部工具部署到生产环境。
借助 Xygeni,团队能够在日常开发过程中检测、预防和修复这些问题,远在攻击者到达目标之前就能做到。 /mob.
