首页 > 极客资料 博客日记
nacos未授权访问漏洞,导致被网警找
2024-09-12 10:30:03极客资料围观19次
极客之家推荐nacos未授权访问漏洞,导致被网警找这篇文章给大家,欢迎收藏极客之家享受知识的乐趣
背景
只做简短汇总,记录一下
公司收购了另一家公司,所以相应的后端服务和服务器都交给我管理,但是没有任何的交接文档,大概看了一下代码,依赖的东西就去忙别的了。
直到今天网警突然打电话给我说系统有漏洞(CVE-2021-29441),并且给出了访问地址
好家伙,直接能看到用户名和密码,岂不是暴力破解就出来了,而且还都是默认密码,再利用这个身份搞东西
解决方式
经过了解主要涉及两个版本
- Nacos < 1.4.0,该版本请求头设置 User-Agent: Nacos-Server,可用过接口获取用户信息
- Nacos <= 2.2.0,和上面的相似,只是从代码写死变成了可自定义,但是有初始值,在后续版本中初始值被移除
按照官网的方式解决就好了:
https://nacos.io/blog/faq/nacos-user-question-history14945/
复现方式,参考
https://cloud.tencent.com/developer/article/1784279
低于1.4.0必须升级
其他版本的修改默认配置即可,然后重启,项目依赖需要加上 nacos 用户名密码
或者只在内网暴露
参考:
- https://nacos.io/blog/faq/nacos-user-question-history14945/
- https://nacos.io/docs/latest/guide/user/auth/
- https://cloud.tencent.com/developer/article/1784279
- https://www.cnblogs.com/spmonkey/p/17504263.html
- https://www.cnblogs.com/spmonkey/p/17505431.html
- https://www.cnblogs.com/thespace/p/16777691.html
- https://blog.csdn.net/m0_52985087/article/details/136879673
- https://blog.csdn.net/Innocence_0/article/details/139087969
这是一段防爬代码块,我不介意文章被爬取,但请注明出处
console.log("作者主页:https://www.cnblogs.com/Go-Solo");
console.log("原文地址:https://www.cnblogs.com/Go-Solo/p/18408669");
版权声明:本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:jacktools123@163.com进行投诉反馈,一经查实,立即删除!
标签:
相关文章
最新发布
- Nuxt.js 应用中的 prerender:routes 事件钩子详解
- 【问题解决】Tomcat由低于8版本升级到高版本使用Tomcat自带连接池报错无法找到表空间的问题
- 【FAQ】HarmonyOS SDK 闭源开放能力 —Vision Kit
- 六、Spring Boot集成Spring Security之前后分离认证流程最佳方案
- 《JVM第7课》堆区
- .NET 8 高性能跨平台图像处理库 ImageSharp
- 还在为慢速数据传输苦恼?Linux 零拷贝技术来帮你!
- 刚毕业,去做边缘业务,还有救吗?
- 如何避免 HttpClient 丢失请求头:通过 HttpRequestMessage 解决并优化
- 让性能提升56%的Vue3.5响应式重构之“版本计数”