修复nacos未授权建账号漏洞

已于 2022-12-14 08:35:35 修改
阅读量3.4k 收藏 4
点赞数
分类专栏: 其他 文章标签: nacos
于 2022-08-04 13:13:14 首次发布
原文链接:https://www.cnblogs.com/h-c-g/p/16038469.html
版权

一 问题描述

发现直接调用如下接口可以增删用户,用户密码,不安全

示例:

curl -XPOST -d "username=baidandan&password=baidandan" "http://172.18.12.96:13001/nacos/v1/auth/users"

会新建一个用户,用该用户可以登录nacos,查看里面的配置信息

二 解决办法

#修改配置文件application.properties修改以下三项:

① 将nacos.core.auth.enabled=false改为true

② 将nacos.core.auth.enable.userAgentAuthWhite=true 改为false

nacos.core.auth.server.identity.key=自定义的值
  nacos.core.auth.server.identity.value=自定义的值

#重启nacos:

systemctl restart nacos

--但是改完后,可能有的程序就没法访问了,需要改程序里的配置。

所以需要先确定没问题后,再动生产环境。

--本篇文章参考了:

nacos 未授权访问漏洞 - 一心二念 - 博客园

雅冰石
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nacos2.2.2增加鉴权配置,防止NACOS身份登陆绕过漏洞
06-04
Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构云原生应用的动态服务发现、配置管理和服务管理平台。 Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组...
NACOS身份认证绕过漏洞批量检测poc.7z
02-24
该程序可能通过发送特定的HTTP请求,模拟攻击者的尝试,来检测NACOS服务器是否允许授权的访问。如果返回的结果表明可以成功绕过身份认证,那么就证明了NACOS服务器存在这个安全漏洞。 为了防止此类漏洞对系统造成...
Nacos漏洞总结复现
渗透测试研究中心
03-23 1万+
Nacos漏洞总结复现一、Nacos默认key导致权限绕过登陆0x00 漏洞描述Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致授权访问漏洞。 通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户0x01漏洞影响0.1.0 <= Nacos <= 2.2.00x02 漏洞搜索fofa:app="NACOS"0x03 ...
防止nacos 随意添加用户
gjp014的专栏
12-07 4112
nacos 配置
Alibaba Nacos权限认证绕过漏洞复现
逍遥小哥的博客
07-18 6226
是一个易于使用的平台,旨在用于动态服务发现,配置和服务管理。它可以帮助您轻松构云本机应用程序和。2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的授权访问漏洞。通过该漏洞,攻击者可以进行任意操作,包括创用户并进行登录后操作。为什么会产生这个漏洞?1.认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。
Hvv之Nacos漏洞分析与整改
天道酬勤
08-19 1637
nacos漏洞分析、复现与修复
Nacos用户并鉴权图文教程
理想主义的花最终会盛开在浪漫主义的土壤里,我的热情永远不会熄灭在现实的平凡之中,我们终将上岸,阳光万里。
10-21 6060
由于公司正在做nacos的鉴权和账号分配,每一个项目对应一个nacos账号,每一个nacos账号只能访问或操作对应项目的资源,做到项目与项目之前的隔离。通过本篇博客能够成功进行鉴权和账号权限分配。
nacos 2.2.3版本
06-29
Nacos 2.2.3版本中,重点是修复了之前版本存在的安全漏洞和性能问题,以提高系统的稳定性和安全性。 首先,让我们深入了解Nacos的核心功能: 1. **服务发现**:Nacos作为一个服务中心,可以让服务提供者注册自己...
nacos中数据库数据导入
02-05
nacos中数据库数据导入
Nacos漏洞综合利用GUI工具(源码+项目说明)(集成默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞的检测).zip
03-05
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用!...Nacos漏洞综合利用GUI工具(源码+项目说明)(集成默认口令漏洞、SQL注入漏洞、身份认证绕过漏洞、反序列化漏洞的检测及其利用).zip
Nacos授权访问漏洞
00勇士王子的博客
02-27 6293
一般来说,nacos议部署在内网中,如果在外网出现,会有很大的风险。
SpringCloudAlibaba:Nacos开启鉴权(解决跳过登录页面问题)
热门推荐
Microhoo_苏福的博客
05-16 1万+
SpringCloudAlibaba:Nacos开启鉴权(解决跳过登录页面问题)
Nacos授权访问漏洞复现
apple_52661176的博客
07-09 1267
nacos授权访问漏洞的几种姿势
【渗透实战】Nacos授权访问(CVE-2021-29441)
Nafia的博客
02-20 3001
Nacos授权访问漏洞挖掘记录
使用Nacos注册中心
m0_57669503的博客
12-10 954
在上一章我们实现了微服务拆分,并且通过Http请求实现了跨微服务的远程调用。不过这种手动发送Http请求的方式存在一些问题。试想一下,假如商品微服务被调用较多,为了应对更高的并发,我们进行了多实例部署,如图:此时,每个的实例其IP或端口不同,问题来了:item-service这么多实例,cart-service如何知道每一个实例的地址?http请求要写url地址,服务到底该调用哪个实例呢?如果在运行过程中,某一个实例宕机,依然在调用该怎么办?如果并发太高,临时多部署了N台实例,
nacos安全测评漏洞nacos授权访问漏洞【原理扫描】
最新发布
Yang_RR的博客
05-11 1202
nacos目前使用的版本为v2.0.3,后台管理界面虽然有账号密码的登录验证,但是服务注册和读取配置没有认证配置。
MySQL 创用户 / 设置权限
灵台方寸山斜月三星洞
10-28 1114
用户 CREATE USER 'nacos'@'localhost' IDENTIFIED BY '12345'; 密码:nacos 主机名:如果省略,默认为 %除本机外所有网络主机。localhost只允许本地访问。 密码:12345 设置权限 将数据库nacos所有表授权nacos@localhost GRANT ALL PRIVILEGES ON nacos.* TO 'nacos'@'localhost'; 更改权限后要执行刷新命令才会生效 flush privileges; 参考资
nacos授权访问漏洞 修复
07-15
对于Nacos授权访问漏洞议你采取以下措施进行修复: 1. 更新到最新版本:确保你使用的Nacos版本是最新的,因为最新版本通常包含了安全修复漏洞修复。 2. 配置访问控制:通过配置适当的访问控制策略,限制只有授权用户或者IP可以访问Nacos。可以使用Nacos的权限管理功能来实现。 3. 强化认证和授权:启用强密码策略,使用复杂的密码,并定期更换密码。确保只有授权用户具有适当的权限来访问和管理Nacos。 4. 防火墙设置:配置防火墙来限制对Nacos的访问,只允许来自可信源IP地址的请求。 5. 安全审计日志:启用安全审计日志功能,记录所有关键操作和访问日志。这有助于发现异常行为和及时应对潜在的安全威胁。 6. 定期备份:定期备份Nacos的数据,以防止数据丢失或损坏。备份可以帮助你在遭受攻击或数据丢失时快速恢复。 7. 安全漏洞扫描和测试:与安全团队合作,进行定期的安全漏洞扫描和安全测试,以发现并修复潜在的安全问题。 8. 及时响应:如果你发现任何安全问题或漏洞,应立即采取措施进行修复和调查。可以向Nacos官方团队报告漏洞,并升级到已修复漏洞的版本。 请记住,安全是一个持续的过程,需要不断地关注和改进。通过以上措施,你可以提高Nacos的安全性,并减少授权访问漏洞的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值