漏洞深度分析 | Apache StreamPipes 存在权限绕过漏洞导致垂直越权

最新推荐文章于 2024-08-16 06:13:48 发布
最新推荐文章于 2024-08-16 06:13:48 发布
阅读量204 收藏
点赞数
文章标签: apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/131438161
版权
ApacheStreamPipes是一个工业物联网的数据分析工具,允许快速连接多种协议并创建数据管道。然而,在0.90.0版本中,RESTAPI的权限校验存在缺陷,普通用户能通过JWT令牌创建管理员账户,导致垂直越权。厂商已发布修复更新,建议用户升级到安全版本。
摘要由CSDN通过智能技术生成

项目地址

https://github.com/apache/streampipes

项目介绍

Apache StreamPipes 使工业数据分析变得简单!

StreamPipes 是工业物联网的端到端工具箱。它带有针对非技术用户的丰富的图形用户界面,并提供以下功能:

  •  快速连接超过 20 种工业协议,例如 OPC-UA、PLC、MQTT、REST、Pulsar、Kafka 等。
  •  使用超过 100 种算法和数据接收器创建数据协调和分析管道,以将数据转发到第三方系统。
  •  使用数据浏览器通过许多为时间序列数据量身定制的小部件直观地探索历史数据。
  • 实时仪表板,用于显示来自数据源和管道的实时数据,例如,用于车间监控。
  • StreamPipes 具有高度可扩展性,包括一个 Java SDK 来创建新的管道元素和适配器。Python 支持在早期开发阶段可用 - 敬请期待!管道元素是独立的微服务,可以在任何地方运行——集中在您的服务器上或靠近边缘。您想在实时数据上使用自己的机器学习模型吗?只需编写您自己的数据处理器并使其可作为管道元素重复使用。

除此之外,StreamPipes 还包括用于生产部署的功能:

  •  将管道、数据流和仪表板等资源分配给资产以实现更好的组织。
  •  管道和适配器的监控和指标。
  •  内置用户和访问权限管理。
  •  导出和导入资源。

项目版本

0.90.0

漏洞细节

开启REST API,虽然配置了全局 jwt 权限校验,但是并未对用户 token 进行鉴别。因此普通用户亦可使用自己 jwt 发送数据包进行创建用户,且并未对创建用户归属的用户组和权限进行检查,导致低权限用户可以越权创建管理员账户。

具体分析如下:
项目提供了org.apache.streampipes.rest.impl#UserResource 类对用户进行相关操作,且实现了私有函数进行检查。

例如 updateUserAccountDetails 函数就调用了 isAdmin 进行操作前检查。

 

但创建用户函数 user 并未对当前用户及用户传入的权限、用户信息、用户组进行检查。导致可以实现权限绕过实现垂直越权。

 

漏洞利用

创建低权限用户 admin@admin.com ,role 为 Pipline User,无任务界面及功能查看、点击、设置权限。

 

刷新上述空白页面,抓包获取 jwt。

 

以该用户权限访问创建用户链接,无法查看、操作任何内容。

 

以管理员身份抓包获取创建用户创建数据包,删除cookie、替换jwt为受限用户 admin@admin.com。

 

不仅可以创建用户 admin1 ,还可以创建带管理员权限的用户。

 

以越权创建的用户 admin1 登录,可以实现全部管理员操作。

 

修补方式

厂商已发布了漏洞修复程序,请使用此产品的用户尽快更新至安全版本,版本升级链接如下:
https://streampipes.apache.org/download

棱镜七彩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
incubator-streampipes:Apache StreamPipes-一个自助式(工业)IoT工具箱,使非技术用户可以连接,分析和探索IoT数据流
02-07
(工业)IoT的自助数据分析 StreamPipes是一种自助式(工业)IoT工具箱,使非技术用户可以连接,分析和浏览IoT数据流。 目录 关于Apache StreamPipes Apache StreamPipes(正在孵化)通过在现有流处理框架之上提供图形化建模编辑器来实现对流处理管道的灵活建模。 它使非技术用户可以基于易于扩展的数据源,数据处理器和数据接收器工具箱,快速定义和执行处理管道。 StreamPipes具有可交换的运行时执行层,并使用提供的包装器之一(例如,独立的或分布在Apache Flink中)执行管道。 StreamPipes中的管道元素可以在运行时安装-内置的SDK可以根据您的需求轻松实现新的管道元素。 管道元素是独立的微服务,可以在任何地方运行-在服务器的中央,大型集群中或在边缘附近运行。 用例 StreamPipes允许您使用SDK或内置的图形工具Str
漏洞复现 | Apache Shiro 授权绕过漏洞(CVE-2022-32532)
尼泊罗河伯的博客
09-16 4993
Apache Shiro 是一套用于执行认证、授权、加密和会话管理的 Java 安全框架。2022年06月29日 APache 官方发布了一则关于 Apache Shiro 的安全通告,Apache Shiro 1.9.1 前的版本 RegExPatternMatcher 在使用带有“.”的正则时,可能会导致权限绕过漏洞源于 RegExPatternMatcher 默认使用的正则匹配的“.”不会匹配换行符,因此可以使用在路径中添加换行符来绕过权限匹配。
streampipes安装
糖糖爸的博客
11-18 1146
简介 streampipes是flink foward Europe2019一家名为FZI的公司贡献出来的,非常雷锋,页面也很酷炫。本文主要讲解下如何安装streampipes,以及安装过程可能遇到的坑。官网连接:https://www.streampipes.org/en/ 安装步骤 安装docker 安装docker-compose 配置环境 安装streampipes 详细步骤...
Apache StreamPipes:工业物联网的自服务数据分析工具
gitblog_00054的博客
08-06 298
Apache StreamPipes:工业物联网的自服务数据分析工具 streampipesApache StreamPipes - A self-service (Industrial) IoT toolbox to enable non-technical users to connect, analyze and explore IoT data streams.项目地址:https://...
incubator-streampipes-extensions:Apache StreamPipes-一个自助式(工业)IoT工具箱,使非技术用户可以连接,分析和浏览IoT数据流。 该存储库包含适用于StreamPipes Connect的即用管道元素和适配器
03-05
Apache StreamPipes Apache StreamPipes(正在孵化)通过在现有流处理框架之上提供图形化建模编辑器,实现了对流处理管道的灵活建模。 它使非技术用户能够基于易于扩展的数据源,数据处理器和数据接收器工具箱,快速定义和执行处理管道。 StreamPipes具有可交换的运行时执行层,并使用提供的包装器之一(例如,独立的或分布在Apache Flink中)执行管道。 StreamPipes中的管道元素可以在运行时安装-内置的SDK可以根据您的需求轻松实现新的管道元素。 管道元素是独立的微服务,可以在任何地方运行-在服务器的中央,大型集群中或在边缘附近运行。 StreamPipes核心存储库: : 网站: : 文件: : 扩展:连接适配器和管道元素 该项目提供了一个可在Apache StreamPipes工具箱中使用的几个Connect适配器和管道元
开源之夏 Apache StreamPipes 提交 IoTDB 集成项目,速来报名!
qin_DB的博客
05-07 458
又有可以参与的项目啦!我们发现在开源之夏活动中,Apache StreamPipes 社区的国际同行提交了一个和 IoTDB 的集成项目任务。开源之夏和 IoTDB 在国际上的影响力不断提升,IoTDB 社区也将倾力支持该项目,感兴趣的同学请踊跃报名!什么是开源之夏开源之夏是中国科学院软件研究所发起的“开源软件供应链点亮计划”系列暑期活动,旨在鼓励高校学生积极参与开源软件的开发维护,促进优秀开源软...
探索未来工业物联网数据分析Apache StreamPipes
gitblog_00773的博客
08-06 807
探索未来工业物联网数据分析Apache StreamPipes streampipes-extensionsApache StreamPipes - A self-service (Industrial) IoT toolbox to enable non-technical users to connect, analyze and explore IoT data streams. Thi...
探索未来数据流:Apache StreamPipes 深度解读与应用指南
gitblog_00019的博客
08-06 784
探索未来数据流:Apache StreamPipes 深度解读与应用指南 streampipes-examplesExamples supporting the StreamPipes developer guide项目地址:https://gitcode.com/gh_mirrors/st/streampipes-examples 项目介绍 在物联网(IoT)时代的大潮中,Apache Str...
stream pipe的原理及简化源码分析
weixin_33830216的博客
02-03 219
前言 在编写代码时,我们应该有一些方法将程序像连接水管一样连接起来 -- 当我们需要获取一些数据时,可以去通过"拧"其他的部分来达到目的。这也应该是IO应有的方式。 -- Doug McIlroy. October 11, 1964 本质上来说,编码就是对数据的读取,处理最后返回结果,数据在一个程序又一个程序中不断传递。理想情况下,数据的传递应该是不停滞的,但是现实情况中因为诸如单个数据过大,...
【GitHub项目推荐--GitHub工业级开源:让工业数据分析变得简单】【转载】
j8267643的博客
03-10 1256
它支持多种物联网通信协议和设备类型,并提供了丰富的API和SDK,使用户能够轻松地构建和部署物联网应用程序。ThingWorx:这是一个功能强大的工业物联网平台,提供了丰富的自助式工具,使用户能够轻松地连接、管理和分析物联网设备和数据。总的来说,StreamPipes是一个功能强大的开源工具箱,旨在降低物联网数据处理的复杂性,使非技术用户能够轻松地连接、分析和探索物联网数据流。探索:通过直观的界面和可视化工具,帮助用户探索和理解物联网数据,发现数据中的模式和趋势。
Apache Http Server安全漏洞解决
DaiSnow的博客
04-21 1万+
场景:公司使用的大数据集群云服务器,安全扫描出严重漏洞,扫描漏洞如下: 安全漏洞扫描报告 端口 协议 服务 严重等级 漏洞 – ICMP – 弱 ICMP timestamp请求响应漏洞 – UDP – 弱 允许Traceroute探测 80 TCP http 严重 严重 严重 严重 严重 弱 OpenSSL 安全漏洞(CVE-2022-0778) Apache HTTP Server 环境问题漏洞(CVE-2022-22720) Apache HTTP Server 输入验证错误漏
Apache Shiro系列漏洞利用以及实战总结
热门推荐
jammny
10-14 1万+
前言: Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。内置了可以连接大量安全数据源(又名目录)的Realm,如LDAP、关系数据库(JDBC)、类似INI的文本配置资源以及属性文件等。 目录 RememberMe RCE-550(CVE-2016-4437) 远程安全限制绕过漏洞(CVE-2016-6802) Padding Orac
Apache 首次亚洲线上技术峰会: 物联网/工业物联网专场大咖详细介绍
乔的博客
07-29 799
—引言 —随着智能装备的日益普及、传感器和流量成本的不断降低,物联网(尤其是工业物联网)得到了前所未有的快速发展,其中工业互联网/工业4.0在中国、德国、美国等国家已经上升到战略高度。I...
Node.js Stream pipe细节
沙沙罗曼的专栏
05-03 5276
Node.js Stream pipe细节 流的pipe操作主要用于readable流向writable流传递数据,之前只是从经验角度去猜测pipe的工作原理,但遇到问题时才发现不靠谱的猜测并不能为解决问题带来帮助,所以花些时间了解一下pipe的工作原理,本文主要从源代码角度解释pipe的几个内部细节。 支持多个pipe下游 通过阅读源代码,发现同一个readable流支持多个pipe下...
Docker 安装 Apache
最新发布
lly202406的博客
08-16 563
Docker 是一个开源的应用容器引擎,它允许开发者打包他们的应用以及应用的依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。Apache HTTP Server 是一个自由和开源的跨平台网页服务器,由 Apache 软件基金会负责维护。Apache 服务器以其强大的功能、灵活性和可扩展性而闻名,支持多种操作系统,包括 Linux、Windows 和 macOS。
Apache CloudStack Official Document 翻译节选(二)
UsamaBinLaden6976498的专栏
08-13 436
与有单一的中央Apache CloudStack云管理服务集群管理广泛分散的专职地带团体的情形相比,把专职地带团体归置到邻近的Apache CloudStack云管理服务集群之下可以大幅降低Apache CloudStack云内的通讯延时。【如果你正在升级Apache CloudStack的版本、且你的Apache CloudStack中含有来自多重VMware数据中心的集群的专职地带,那么这种专职地带不会被强制迁移到新版本的模式中、且它依旧可以运行。专职地带分为公有的专职地带和私有的专职地带。
apache huidi 时间旅行Time Travel)机制
JustinMars的博客
08-15 239
Apache Hudi 的时间旅行功能主要依赖于提交日志、基础文件与增量日志的结合,以及通过合并与压缩来管理数据的多个版本。索引机制则进一步提高了查询的效率。通过这些机制,Hudi 能够实现高效的时间旅行查询,允许用户访问数据的历史版本。
使用Java调用Apache commons-text求解字符串相似性实战
夜郎King的博客
08-14 1078
本文以Java编程为例,讲解了在Java中求解两个字符串的几种方法。通过求解编辑距离、Q-gram Matching、还有余弦相似性计算,通过对比不同的方法,调用Apache 的Common-text中基于余弦的字符相似性得到了比较比错的结果。最后讲解了一个实际的案例,将之前我们采集的漂亮数据库数据和百科的数据进行对齐。
Apache IoTDB驱动的端边云数据流转与工业物联网解决方案
Apache StreamPipes Committer的引入进一步强化了其在流处理领域的应用。 4. 基于IoTDB流处理框架的全新端边云解决方案 基于Apache IoTDB的流处理框架提供了一种全新的解决方案,它整合了高性能的写入能力、压缩...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值