nacos开启权限验证后出现的问题

最新推荐文章于 2024-08-14 15:29:48 发布
最新推荐文章于 2024-08-14 15:29:48 发布
阅读量6.9k 收藏 4
点赞数
文章标签: 安全 web安全 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lambda2019/article/details/121518869
版权

服务器扫出来nacos权限绕过漏洞(CVE-2021-29441),按照修改说明升级最新版本即可,但是服务器上已经是最新版本了,还是扫出漏洞,网上查了一下原来升级后还要手动开启权限验证,网上文章很多:

application.properties配置项

### If turn on auth system:
nacos.core.auth.enabled=true

项目nacos配置增加usernam和password,值是登录nacos的用户名和密码(我这是SpringBoot项目 bootstrap.yml):

spring:
  cloud:
    nacos:
      username: nacos
      password: nacos
      config:
        server-addr: localhost:8848
        file-extension: yaml
      discovery:
        server-addr: localhost:8848

记录一下遇到的其他问题:

1.springboot项目,原来配置的file-extension: yml,可以调到nacos中的配置(应该是yml和yaml都兼容),此次升级及开启权限验证后只有配置成yaml才能调到配置。(浪费了很多时间,发现后捶胸顿足)

2.在nacos中新建了一个账号给项目使用,发现调不到配置,用原来的nacos账号居然可以。postman测试发现新建的账号没有权限,原来新账号需要nacos的权限控制菜单,分配角色和资源。

另:验证问题时最好使用postman测,错误代码更直观。调用某个配置 

http://localhost:8848/nacos/v1/cs/configs?group=DEFAULT_GROUP&tenant=public&dataId=test.yaml&username=nacos&password=nacos
Lambda2019
关注
NacosNacos MySQL 配置后无法登录 愚蠢的问题
九师兄
04-04 2390
1.概述 在博客 【SpringCloud】Spring cloud Alibaba Nacos 集群和持久化配置 开始学习Nacox配置MySQL,然后配置过程出错了,然后根据这篇文章解决了 【NacosNacos MySQL 配置 启动报错 ould not create connection to database server. Attempted reconnect 3 time 解决完毕后,发现无法登录了。 但是默认密码登不上了 nacosnacos 这个密码也不知道是撒,这个贱货 自.
springboot2.2.5+dubbo2.7.3+nacos2 支持Nacos开启认证
a471801687的专栏
11-24 1047
springboot2.2.5+dubbo2.7.3+nacos2 支持Nacos开启认证
nacos 中 配置了 nacos.core.auth.enabled=true 不生效
迎风飞翔的专栏
05-16 744
这是windows版本的修改方法,linux版本的也类似,将optional: 去掉,然后application.propertis配置就生效了。再application.propertis中修改了nacos.core.auth.enabled=true ,2、修改startup.cmd文件中的。用的是nacos1.4.6的版本。
nacos升级开启鉴权后,微服务无法连接的解决方案
localhost
08-08 5791
4.“权限控制”->“权限管理”->“添加权限”,例如为test_role角色添加xxxx命名空间的资源和读写权限。3.“权限控制”->“角色管理”->“绑定角色”,例如将test用户绑定test_role角色。spring.application.name的dataId配置,并且也没有指定鉴权账户。经检查发现是配置鉴权账户时,用的是name,没有使用username,导致覆盖了。2.登录nacos,“权限控制”->“用户列表”->“创建用户”,例如test。一、升级nacos版本,开启鉴权。
针对Nacos漏洞猎杀的各种骚姿势
最新发布
2301_80115097的博客
08-14 952
这次给师傅们分析的是Nacos相关漏洞挖掘的骚技巧,主要是给师傅们打下nday,让师傅们能够从零基础的小白也可以上手打Nacos的nday(主要给小白看的,大佬勿喷)。然后下面主要介绍了NacosExploitGUI自动化工具的使用,以及使用这个工具打nday的手法,以及要是批量漏洞url怎么扫描利用,总的来讲,下面的漏洞案例复现还是蛮详细的。
nacos开启鉴权配置,出现报错异常解决
m0_46516427的博客
03-08 1903
开启鉴权后运行startup.cmd -m standalone可能报错,需在配置文件中设置nacos.core.auth.server.identity.key,由于nacos.core.auth.server.identity.key是一个自定义的值,你可以选择任何你觉得合适且安全的字符串作为这个键。重要的是,这个键和对应的值需要在Nacos服务器和客户端之间保持一致,以便正确地进行身份验证。的配置文件中,需要配置访问服务端的账户和密码信息。
nacos开启鉴权后,服务启动报错(解决方案)
07-19 3008
【代码】nacos开启鉴权后,服务启动报错(解决方案)
nacos开启认证之后,服务就无法注册了
每天進步一點點
07-01 1377
1、nacos-client 的版本号推荐与nacos服务端一致2、nacos的版本号要适配。
Nacos 开启鉴权后,注册失败,报unknown user!
weixin_41165430的博客
12-15 3095
Nacos 开启鉴权后,注册失败,报unknow user! 问题排查及解决方案
nacos开启权限校验后无法注册
09-19
Nacos是一个用于动态服务发现、...总之,当Nacos开启权限校验后,无法注册可能是由于权限校验方式或认证信息配置错误、网络连接问题等原因所致。通过检查配置文件、身份验证信息和网络连接,可以解决无法注册的问题
nacos2.1.1、nacos2.0.3两个版本的tar.gz和zip安装包
03-30
- **安全设置**:为了保障系统安全,应当启用认证和授权功能,对访问 Nacos 的用户进行身份验证权限控制。 7. **社区支持** - Nacos 拥有活跃的社区,用户可以在官方论坛、GitHub 或 Stack Overflow 上寻求帮助...
阿里 Nacos安全漏洞已绕过身份验证,附修复建议
lt_xiaodou的博客
08-27 925
我发现nacos最新版本1.4.1对于User-Agent绕过安全漏洞的serverIdentity key-value修复机制,依然存在绕过问题,在nacos开启了serverIdentity的自定义key-value鉴权后,通过特殊的url构造,依然能绕过限制访问任何http接口。...
Nacos 无法注册服务
gaozhenyu5201314的博客
11-06 451
3.加Nacos相关配置 注册地址 (默认为8888)Nacos服务搭建完成。引入了Nacos的依赖。
Nacos权限认证
FAIRYTAIL的博客
08-15 1422
错误提示你需要设置 nacos.core.auth.server.identity.key 和 nacos.core.auth.server.identity.value 的值,在2.2.1后这两个是没有默认值的,需要自己填写。原因是需要配置 nacos.core.auth.plugin.nacos.token.secret.key 并且这个值不能低于32位,这也是在2.2.1后没有默认值了。可以看到,不需要登录名密码就直接访问到了nacos主页,在主页也有提示,让我们开启鉴权。
nacos2.X版本无法注册、注册失败的几个原因以及解决方案(踩坑避雷!)
qq_59622162的博客
08-07 8886
nacos2.X版本无法注册的几个原因以及解决方案(踩坑避雷!)
nacos 开启权限验证后 报错状态 403
热门推荐
Gblfy_Blog
04-09 2万+
文章目录一、漏洞修复1. 未授权访问漏洞2. 解决方案3. 修复效果图二、403 异常解决2.1. 版本对照2.2. 线上采用版本2.3. yml文件配置2.4. pom依赖2.5. 效果图 一、漏洞修复 1. 未授权访问漏洞 前因:政府项目被扫出nacos未授权访问漏洞 2. 解决方案 在nacos/conf/application.properties nacos开启权限认证配置: nacos.core.auth.enabled=true 3. 修复效果图 添加用户 http://127.0.
nacos1.4.2开启鉴权后提示 没有 public 命名空间的访问权限
JFENG14的博客
06-05 701
nacos的数据库的roles表中添加记录。可以在数据库中添加角色。
nacos 更新报错“发布失败。请检查参数是否正确”
Java程序员廖志伟
03-20 2525
🌟我是廖志伟,一名Java开发工程师、Java领域优质创作者、CSDN博客专家、51CTO专家博主、阿里云专家博主、清华大学出版社签约作者、产品软文专业写手、技术文章评审老师、问卷调查设计师、个人社区创始人、开源项目贡献者。🌎跑过十五公里、🚀徒步爬过衡山、🔥有过三个月减肥20斤的经历、是个喜欢躺平的狠人。
访问nacos(版本2.2.3)无登录界面问题修复建议
chinajxwyq0811的博客
03-13 2170
在使用2.2.3版本nacos时,启动后访问http://localhost:8848,出现404,但是访问http://localhost:8848/nacos时可以正常进入,但是不会显示登录账户信息。在conf目录下找到application.properties这个文件,将如下信息进行修改,然后重新启动,重新访问http://localhost:8848/nacos 就可以跳转到登录页面了。使用默认的登录账号(nacos)和密码(nacos)就可以登录进去了。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值