檢測方法
alibaba-nacos-unauthorized.jar
位址
檢測方法
這樣是不存在漏洞的提示
3需要修改的配置
首先使用最新版本的nacos
(1)nacos.core.auth.enabled=false 改為true
(2)nacos.core.auth.enable.useragentauthwhite=true 改為false
(3)nacos.core.auth.server.identity.key= 加上自定義的值
nacos.core.auth.server.identity.value= 加上自定義的值
一、都不改的情況下
檢測提示存在漏洞
且 通過命令
curl -xpost -d 'username=test&password=test' '' 可以新增使用者
curl -xput -d 'username=test&newpassword=test' '' 可以修改使用者密碼
curl -xdelete -d 'username=test' '' 可以刪除使用者
二、只改(1)
檢測提示存在漏洞
通過curl 命令 不能編輯
(1)(2)(3)同時修改解決這倆個問題,沒有試過(1)(2)(3)各種組合情況,有興趣的同學可以試一下
Redis未授權訪問漏洞
一 漏洞描述和危害 redis因配置不當可以未授權訪問,被攻擊者惡意利用。攻擊者無需認證訪問到內部資料,可能導致敏感資訊洩露,黑客也可以惡意執行flushall來清空所有資料。攻擊者可通過eval執行lua 或通過資料備份功能往磁碟寫入後門檔案。如果redis以root身份執行,黑客可以給root賬...
Memcache未授權訪問漏洞
memcached 分布式快取系統,預設的 11211 埠不需要密碼即可訪問,黑客直接訪問即可獲取資料庫中所有資訊,造成嚴重的資訊洩露。0x00 memcache安裝 2 在cmd命令介面 下輸入 memcached.exe d install 進行安裝 3 啟動 memcached.exe d s...
Redis未授權訪問漏洞
一 漏洞描述和危害 redis因配置不當可以未授權訪問,被攻擊者惡意利用。攻擊者無需認證訪問到內部資料,可能導致敏感資訊洩露,黑客也可以惡意執行flushall來清空所有資料。攻擊者可通過eval執行lua 或通過資料備份功能往磁碟寫入後門檔案,如果redis以root身份執行,黑客可以給root賬...