Jenkins,Jupyter,NoteBook未授权访问漏洞(及修复方法)

最新推荐文章于 2024-08-09 17:13:53 发布
最新推荐文章于 2024-08-09 17:13:53 发布
阅读量535 收藏 13
点赞数 4
文章标签: jenkins jupyter 运维 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/C233333235/article/details/141065999
版权

一.Jenkins

      默认情况下 Jenkins⾯板中⽤户可以选择执⾏脚本界⾯来操作⼀些系统层命令,攻击者可通过未授权访问漏洞或者暴⼒破解⽤户密码等进⼊后台管理服务,通过脚本执⾏界⾯从⽽获取服务器权限。

漏洞复现

首先我们利用如下语句在fofa中搜索

port="8080" && app="JENKINS" && title=="Dashboard [Jenkins]"

找到一个页面中有Manage Jenkins的,往下滑会有一个Scritp Console

点开之后我们就可以在里面执行命令了,这里我们执行一个println "whoami" .execute().text,发现成功执行

如何修复

1. 升级版本。

2. 添加认证,设置强密码复杂度及账号锁定。

3. 禁⽌把Jenkins直接暴露在公⽹。

二.Jupyter NoteBook

      Jupyter Notebook(此前被称为 IPython notebook)是⼀个交互式笔记本,⽀持运⾏ 40多种编程语⾔。如果管理员未为Jupyter Notebook配置密码,将导致未授权访问漏洞,游客可在其中创建⼀个console并执⾏任意Python代码和命令,默认端⼝:8888。

漏洞复现

同样的,我们在fofa中搜索"Jupyter Notebook" && port="8888",如果存在未授权访问漏洞,那么点进去会直接跳转到web页面,否则就会到一个登陆页面

登陆页面

web页面

在web页面,我们可以直接创建一个终端来执行命令,点击new里的terminal即可

然后在这里可以直接执行命令

如何修复

1. 开启身份验证,防⽌未经授权⽤户访问。

2. 访问控制策略,限制IP访问,绑定固定IP。

三.Elasticsearch

      ElasticSearch是⼀个基于Lucene的搜索服务器。它提供了⼀个分布式多⽤户能⼒的全⽂搜索引擎,基于RESTful web接⼝。Elasticsearch是⽤Java开发的,并作为Apache许可条款下的开放源码发布,是当前流⾏的企业级搜索引擎。Elasticsearch的增删改查操作全部由http接⼝完成。由于Elasticsearch授权模块需要付费,所以免费开源的Elasticsearch可能存在未授权访问漏洞。该漏洞导致,攻击者可以拥有Elasticsearch的所有权限。可以对数据进⾏任意操作。业务系统将⾯临敏感数据泄露、数据丢失、数据遭到破坏甚⾄遭到攻击者的勒索。

复现步骤:

首先我们利用如下语法在fofa中进行搜索

"Elasticsearch" && port="9200"

然后寻找能直接点进去查看到信息的ip

含有未授权访问漏洞则会出现如下页面

可以按照上面的查看节点信息,如访问ip的/_nodes 目录

如何修复

1. 访问控制策略,限制IP访问,绑定固定IP。

2. 在 config/elasticsearch.yml 中为9200端⼝设置认证等

Atopos`
关注
  • 4
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
二十八种授权访问漏洞合集(暂时最全)
墨痕诉清风的博客
01-04 4687
目录 0x01 授权漏洞预览 0x02 Active MQ 授权访问 0x03 Atlassian Crowd 授权访问 0x04 CouchDB 授权访问 0x05 Docker 授权访问 0x06 Dubbo 授权访问 0x07 Druid 授权访问 0x08 Elasticsearch 授权访问 0x09 FTP 授权访问 0x10 HadoopYARN 授权访问 0x11 JBoss 授权访问 0x12 Jenkins 授权访问 0x13 Jupyt
Web漏洞-授权访问漏洞
Ays.Ie的博客
03-21 3699
该篇记录了web漏洞-授权访问漏洞的相关知识
授权访问漏洞总结
LuckySec
03-24 4847
前言:这篇文章主要收集一些常见的授权访问漏洞授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 0x01 授权漏洞预览 Active MQ 授权访问 Atlassian Crowd 授权访问 CouchDB 授权访问 Docker 授权访问 Dubbo 授权访问 Druid 授权访问 Elasticsearch 授权访问 FTP 授权访问 Hadoop 授权访问 JBoss 授权访
授权访问漏洞
weixin_56378389的博客
04-11 1071
Redis;Docker
授权访问漏洞大全
yggcwhat
08-23 1万+
授权访问漏洞大全
授权访问漏洞(及其修复方法)---看这一篇就够!!
C233333235的博客
08-05 895
Redis 默认情况下,会绑定在 0.0.0.0:6379 ,如果没有进⾏采⽤相关的策略,⽐如添加防 ⽕墙规则避免其他⾮信任来源 ip 访问等,这样将会将 Redis 服务暴露到公⽹上,如果在没有设 置密码认证(⼀般为空)的情况下,会导致任意⽤户在可以访问⽬标服务器的情况下授权Redis 以及读取 Redis 的数据。
授权访问漏洞笔记
m0_47599604的博客
04-05 1589
授权访问 介绍 授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 B/S架构中 一般存在后台界面中,访问特定目录下的敏感文件,能直接跳过管理员登录,去访问后台管理内容。 C/S架构中 一般存在默认安装的一些客户端应用程序中,安装人员因缺少安全意识导致攻击者利用。 数据库...
浅谈“授权访问漏洞
热门推荐
→_→
07-26 1万+
一:漏洞名称: 授权访问漏洞 描述: 授权访问漏洞,是在攻击者没有获取到登录权限或授权的情况下,或者不需要输入密码,即可通过直接输入网站控制台主页面地址,或者不允许查看的链接便可进行访问,同时进行操作。 检测条件: 已知Web网站具有登录页面。或者具有不允许访问的目录或功能。 不用登录,可通过链接直接访问用户页面功能。 检测方法: 通过对登录后的页面进行抓包,将抓取到的功能链接,在其他浏览器进行打开, 也可以通过web扫描工具进行扫描,爬虫得到相关地址链接,进.
二十四种授权访问漏洞
weixin_45790890的博客
08-03 730
redis是一个数据库,默认端口是6379,redis默认是没有密码验证的,可以免密码登录操作,攻击者可以通过操作redis进一步控制服务器。Redis授权访问在4.x/5.0.5以前版本下,可以使用master/slave模式加载远程模块,通过动态链接库的方式执行任意命令。2.漏洞检测kali安装redis-cli远程连接工具make使用redis-cli命令直接远程免密登录redis主机redis-cli -h 目标主机IP3.漏洞修复禁止使用root权限启动redis服务;
99-web漏洞挖掘之授权访问漏洞1
08-03
授权访问漏洞】是指那些本应受到安全配置或权限认证保护的系统资源或服务,由于配置不当,允许任何用户经身份验证即可直接访问。这种漏洞可能导致敏感信息泄露、重要功能被恶意操作,严重威胁企业的数据安全。...
基于Jupyter Notebook的AI模型上线与模型部署
03-21
在现代数据分析和人工智能领域,Jupyter Notebook已经成为了一个广泛使用的交互式环境,尤其在模型开发、测试和演示过程中。本文将深入探讨如何利用Jupyter Notebook进行AI模型的上线与部署,以便将研究工作转化为...
常见授权访问漏洞总结1
08-04
漏洞简介以及危害config set dir /var/spool/cron
Linux安装Jenkins步骤及各种问题解决(页面访问初始化密码)
09-14
5. 访问Jenkins页面: - 在浏览器中输入`http://你的IP:8081`来访问Jenkins初始化页面。 - 解锁Jenkins:查看`/var/lib/jenkins/secrets/initialAdminPassword`文件,复制其中的初始管理员密码,并在页面上输入。 ...
windows 版本JenkinsJenkinsfile中共享变量
z917185537的专栏
08-09 230
然后Jenkins服务器上查看变量env设置成功了,但是执行输出还是空, 重启一下服务器就能获取到此变量,这种不满足我的需求然后尝试后面的方法jenkins部署在windows服务器上的,需要在Jenkinsfile中获取命令执行的结果存入一个变量,然后在后续的执行中使用此变量。执行结果存文件, 验证virtural_env的值即命令执行的输出,满足需求。windows上执行结果赋值给变量,如果在控制台是。但是发现不存在变量env, 然后把命令中的。一开始想的是定义一个环境变量,如下所示,
gitlab cicd快速入门有哪些方法 gitlabcicd和Jenkins哪个更好用
08-09 495
2. 编写.gitlab-ci.yml文件:这是GitLab CI/CD的核心配置文件,定义了流水线的各个阶段和任务。在众多CI/CD工具中,GitLab和Jenkins是最为常用的两种。本文将围绕“gitlab ci/cd快速入门有哪些方法 gitlabcicd和Jenkins哪个更好用”这一主题,深入探讨GitLab CI/CD的快速入门方法、与Jenkins的对比以及。2. 易用性与配置:GitLab的配置主要依赖于简单的.gitlab-ci.yml文件,用户可以通过简单的YAML语法定义流水线。
Elasticsearch:用例、架构和 6 个最佳实践
欢迎拜读我的作品,喜欢的领域请给我留言
08-06 1229
它建立在 Apache Lucene 之上,并由Elastic 支持。Elasticsearch 用于近乎实时地存储、搜索和分析结构化和非结构化数据。Elasticsearch 的一个主要特性是其,这使得它能够处理集群中多个节点的大型数据集。这使得它成为企业搜索、日志分析和监控应用程序的热门选择。Elasticsearch 提供了用于与搜索引擎交互的,并支持多种查询类型,包括全文搜索、短语搜索和聚合。它还包括各种搜索和分析功能,例如分面、过滤、排序和突出显示。除了搜索和分析之外,。
jenkins 安装
最新发布
qq_42572322的博客
08-09 235
首次访问 Jenkins 时,您需要使用初始管理员密码来解锁 Jenkins。这个密码会在 Jenkins 启动时在控制台中输出,或者您可以在。(可选):您可以将 Jenkins 配置为开机启动,以确保 Jenkins 服务在系统启动时自动运行。:解锁 Jenkins 后,您可以安装推荐的插件或选择自定义插件。这可能需要一些时间来完成。:插件安装完成后,您需要创建一个管理员用户账户,这样您就可以登录并管理 Jenkins。:根据您的需求配置 Jenkins,包括系统设置、全局安全配置、全局工具配置等。
jupyter notebookjenkins
09-07
Jupyter Notebook可以与Jenkins集成,以便将笔记本中的代码转换为独立的Python应用程序。在Jenkins管道中,可以使用一系列步骤来实现这一目标。首先,需要运行Jupyter Notebook并编写所需的代码,包括基于线性回归的动态2。然后,可以使用适当的插件和脚本将Class 4动态2转换为独立的Python 3应用程序。这样,您就可以将Jupyter Notebook中的代码部署到Jenkins上,并在需要时进行自动化构建和部署。这种集成可以提高工程师的工作效率,减少代码重写的可能性,并加快整个开发过程。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值