最近线上发生的几个坑

最新推荐文章于 2024-06-10 19:40:21 发布
最新推荐文章于 2024-06-10 19:40:21 发布
阅读量1.5k 收藏
点赞数 1
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Greenarrow961224/article/details/118970606
版权

最近线上发生的几个坑

黑帐篷的毡片

某天的下午工作时间,我听着轻音乐在写业务(其实是在摸鱼),突然看到群里风控小组有人@我,内心惊呼:难道项目出问题了?打开文件查看,原来是 Nacos 的问题。

煮茶的残火

问题 1:

Nacos 竟然没有配置权限认证!,这个错误属实不应该,只能屁颠屁颠去改了。其实操作起来也简单,本项目 Nacos 是单机版,直接修改 Nacos 中的 conf 文件夹下面的 application.properties 配置文件。

官方文档是这么描述的:

注意

  • Nacos 是一个内部微服务组件,需要在可信的内部网络中运行,不可暴露在公网环境,防止带来安全风险。
  • Nacos 提供简单的鉴权实现,为防止业务错用的弱鉴权体系,不是防止恶意攻击的强鉴权体系。
  • 如果运行在不可信的网络环境或者有强鉴权诉求,请参考官方简单实现做替换增强。

服务端开启鉴权

nacos.core.auth.enabled=true

yml 配置文件 nacos 配置项中添加如下配置:

nacos.config.username: xxx
nacos.config.password: xxx

开启服务身份识别功能

开启鉴权功能后,服务端之间的请求也会通过鉴权系统的影响。考虑到服务端之间的通信应该是可信的,因此在1.2~1.4.0版本期间,通过User-Agent中是否包含Nacos-Server来进行判断请求是否来自其他服务端。

但这种实现由于过于简单且固定,导致可能存在安全问题。因此从1.4.1版本开始,Nacos添加服务身份识别功能,用户可以自行配置服务端的Identity,不再使用User-Agent作为服务端请求的判断标准。

开启方式:

### 开启鉴权
nacos.core.auth.enabled=true

### 关闭使用user-agent判断服务端请求并放行鉴权的功能
nacos.core.auth.enable.userAgentAuthWhite=false

### 配置自定义身份识别的key(不可为空)和value(不可为空)
nacos.core.auth.server.identity.key=example
nacos.core.auth.server.identity.value=example

冬天的雪花

问题 2:

​ Nacos 未开启访问权限控制,导致没有对用户输入的数据进行全面安全检查或过滤 ,没有进行访问权限的过滤。

如图所示:
在这里插入图片描述

修改方案同上,或者升级 Nacos 到安全稳定的版本并开启权限控制 。

野生绿箭侠
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nacos集群部署说明
一起coding,一起嗨。
02-28 900
port/openAPI 挂载SLB模式(内网SLB,不可暴露公网,以免带来安全风险),直连SLB即可,下面挂server真实ip,可读性不好。在nacos的解压目录nacos/的conf目录下,有配置文件cluster.conf,请每行配置成ip:port。:port/openAPI 域名 + SLB模式(内网SLB,不可暴露公网,以免带来安全风险),可读性好,而且换ip方便,推荐模式。这个快速开始手册是帮忙您快速在你的电脑上,下载安装并使用Nacos,部署生产使用的集群模式。
Hvv之Nacos漏洞分析与整改
天道酬勤
08-19 1668
nacos漏洞分析、复现与修复
上心师傅的思路分享(三)--Nacos渗透
最新发布
weixin_72543266的博客
06-10 1509
Nacos 是阿里巴巴推出来的一个开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。但是Nacos是部署在内网的,因此下面通过语法搜索出来的可以看到的,一般会做访问限制的,正常是访问不到的,如果可以访问就可以尝试是否存在漏洞了.当然如果直接在真实环境下测试,一是未授权行为,二是不容易找到复现环境,所以在本地搭建环境来进行复现是最安全,也是最容易。
Nacos的API居然存在这么严重的漏洞
怪咖@的博客
09-09 5589
很多人使用Nacos其实并没有真正的去读过官网,以至于忽视了很多重要的细节,Nacos为我们提供了大量API,但是,直接可以访问,针对于这一点我们也都可以去验证一下。下面我提供了两个调用示例供大家参考,基于这一点Nacos登录页也明确提示,但是对于没真正了解过Nacos,压根也不知道有这个API,也不知道有开启授权这回事,所以也就意识不到这个API暴露出去后果到底有多么严重!
Nacos-SpringCloudAlibaba组件
08-08
注:此为git拉取的源码包,如需已编译后的包,请看我的另外资源!!! 一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您实现动态服务发现、服务配置管理、服务及流量管理。 Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构(例如微服务范式、云原生范式)的服务基础设施。
nacos-server-2.0.4 启动部署失败问题(windows系统
张步云的专栏
02-09 6991
nacos-server-2.0.4 启动部署
介绍几个线上画流程图软件.pdf
11-16
介绍几个线上画流程图软件.pdf
2019线上美妆个护人群洞察.pdf
04-22
2019线上美妆个护人群洞察
获得线上最近的点
06-26
在IT行业中,尤其是在地理信息系统(GIS)开发领域,"获得线上最近的点"是一个常见的需求。这个需求通常出现在用户在地图上标记位置时,需要确保这些标记尽可能接近于已有的线性地理要素,如道路、河流或其他线状...
线上减肥训练营,足不出户,仅靠拉几个社群,发几条朋友圈,月实现入五位
08-04
线上减肥训练营,一个最新的蓝海...足不出户,拉几个社群,发几条朋友圈打造一下人设,一期收个30名学员,月入五位数简简单单。 课程目录: 1.简单介绍 2.筹备工作 3.立人设 4.搞流量 5.做转化 6.减肥相关的知识 7.话术
企业微信智慧硬件线上基础考试
12-15
企业微信智慧硬件线上基础考试
[Nacos] 业务实例如何指定IP(外网IP)注入Nacos
yyongsheng的博客
10-31 3385
PS:本人使用该方法虽然能注册成功,但是请求是失败的,报错:Illegal character in authority at index 7,本来以为是得到的。使用 Spring Cloud Alibaba 搭建微服务,业务实例默认使用内网 IP 注册到。在 Nacos 客户端指定IP,启动成功后即可以在 Nacos 服务端上看到对应的IP。前后有空格之类的,用了trim方法依然还是报错,有待继续研究。PS:使用此方法完美解决,可以愉快的跨服务器请求了!答:指定外网 IP 注册到 Nacos 上。
spring 微服务nacos未授权访问漏洞修复
whandgdh的博客
06-17 7215
spring 微服务nacos未授权访问漏洞修复
SpringCloudAlibaba-Nacos 2.2.1最新版
wangguohui0726的博客
04-19 4232
本文编写自2021年4月8日,当前最新版本为 2021年3月30日发布的2.0.0版本 本文使用版本为SpringCloudAlibaba2.0.0 欢迎来到 Nacos 的世界! Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。 Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。 Nacos 是构建以“服务”为中心的现代应用架构 (例如微服务范式、云原生范式) 的服务基础设施。 SpringCl.
Java Spring Cloud Alibaba-Nacos 注册中心:(六)Nacos Discovery 对外暴露的 Endpoint
地球村
10-26 3702
Nacos Discovery 对外暴露的 Endpoint1.给项目添加依赖2.修改配置文件3.查询效果 Nacos Discovery 内部提供了一个 Endpoint, 对应的 endpoint id 为 nacos-discovery。我们通过该 Endpoint,能获取到: 当前服务有哪些服务订阅者 ; 当前应用 Nacos 的基础配置信息 ; 1.给项目添加依赖 假设我们想看服务提供者(provider)有那些订阅者,以及 Nacos 的基础配置信息。 我们就需要给 provider 项目
Spring Cloud微服务注册到Nacos的IP为内网无法访问
有来技术
12-13 6469
解决方案一 显示声明注册服务实例的外网IP,默认就是使用私网的IP造成无法访问的,配置如下: spring: cloud: nacos: discovery: ip: 101.37.6.8 解决方案二 容器启动指定网络为主机模式: docker run -d --network=host --restart=always appname 总结 推荐解决方案一,毕竟容器少了一层隔离少了点安全。 如果使用Eureka作为注册中心显示指定外网IP,配置如下: eurek
留后门?Nacos被爆存在严重的旁路身份验证安全漏洞!
xmt1139057136的专栏
01-16 1686
留后门?Nacos被爆存在严重的旁路身份验证安全漏洞!2021 年 1 月 15 日,也就是昨天,Nacos 发布了新版本 1.4.1。该版本发布了很多新特性和增强的功能。这次发布的新版...
Nacos 2.X】docker部署
CabbageDevil成狂成魔之路
12-07 897
docker部署Nacos,部署Nacos,docker部署
用spring框架写一个线上超市
05-13
在使用spring框架实现线上超市的过程中,需要考虑以下几个方面: 一、数据库设计 线上超市需要存储大量的商品数据,因此需要设计数据库来存储商品信息、用户信息、订单信息等。在设计数据库时,需要考虑到数据表之间的关联关系,以及如何优化查询效率,保证网站的访问速度。 二、基于spring的MVC架构 在基于spring框架写线上超市时,可以采用spring MVC架构开发。通过设计控制器来实现用户请求的相应处理,实现前后端的数据交互。Spring框架中的DispatcherServlet负责拦截请求,并将请求分发给相应的Controller,Controller再调用Service层进行业务逻辑处理,最终返回ModelAndView(模型和视图)给DispatcherServlet。 三、使用Spring Security实现安全认证 在开发线上超市时,需要保证用户的登录安全。可以使用Spring Security框架实现安全认证,包括用户注册、登陆、权限管理等功能。 四、整合支付宝或微信支付 在线上超市中使用支付宝或微信支付是必不可少的一项功能。可以通过Spring集成支付宝或微信支付的API来实现在线支付功能。 五、集成阿里云或华为云等云平台 为了保证线上超市的高可用性,可以使用Spring Cloud的相关框架来实现应用程序的多节点部署和负载均衡。同时,整合云平台的服务可以使网站运行更加稳定,提升用户体验。 总之,使用Spring框架开发线上超市可以提高开发效率,减少代码复杂度,提高代码质量。在开发过程中,需要结合实际业务需求和用户体验,保证网站的性能与安全性,实现更好的用户体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值