nacos安全测评漏洞:nacos未授权访问漏洞【原理扫描】

最新推荐文章于 2025-03-23 22:01:28 发布
最新推荐文章于 2025-03-23 22:01:28 发布
阅读量3.8k 收藏 10
点赞数 3
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yang_RR/article/details/138697657
版权

一、问题复现

漏洞详细信息:

漏洞分析:

nacos目前使用的版本为v2.0.3,后台管理界面虽然有账号密码的登录验证,但是服务注册和读取配置没有认证配置。

二、漏洞修复

升级nacos版本:

截止发文时间,官网最新版本为v2.3.2。

对比v2.0.3,表结构不一样,沿用原来的库nacos启动不起来,需要下载对应版本的初始化sql脚本:

先下载源码包,下载地址:Release 2.3.2 (Apr 3rd, 2024) · alibaba/nacos · GitHub

找到nacos-server-2.3.2.zip,解压后在nacos/conf下找到mysql-schema.sql这个脚本文件

对比发现表结构相对v2.0.3多了一个字段“encrypted_data_key”

开启认证配置:

我使用的是docker部署方式,要开启认证需要添加以下环境变量:

        NACOS_AUTH_ENABLE   true
        NACOS_AUTH_TOKEN    SecretKey012345678901234567890123456789012345678901234567

最低0.47元/天 解锁文章
Yang_RR
关注
【企业架构设计实战】技术架构设计指南
AI天才研究院
02-08 1万+
提到非功能性,技术架构可能涉及多个方面,如稳定性、可扩展性、一致性、可移植性、兼容性、可配置性、可降级性、可部署性、可发现性、故障透明性、容错性、可检验性、可安装性、完整性、可维护性、可管理性、模块性、可操作性、可恢复性、可靠性、重现性、弹性、可复用性、稳健性、安全性、可服务性、合规性、可持续性、可测试性、可追溯性等。很多企业在发展初期,在技术方面的投入并不大,主要以外采系统为主,包括CRM、MES、ERP、HR、PLM、SCM等系统,各个系统各自独立,各自有单独的数据库及权限管理。
等保整改之开启Nacos认证-漏扫发现我们使用Nacos时存在未授权访问漏洞
Heartsuit的博客
11-20 2844
我这里相关的服务有:网关服务、系统服务、认证服务、MinIO对象存储服务、WebSocket消息推送服务、定时任务服务、系统监控服务等)的配置文件。部署在专网中,并修改了默认密码),这让我们误以为后续的服务注册、配置读取与更新也是开启认证的。还是之前的一个小项目,部署在专网中,等保在做了一次漏扫后,说是有个高危漏洞要求整改。试想一下,你的服务注册、配置读取与更新接口竟然是暴露的,没有任何认证拦截的;可以直接访问到完整的配置信息,甚至包括各种服务的密码信息等,就问怕不怕。,发现接口403了,真棒。
Nacos Namespace 未授权访问漏洞
R先生专栏
04-08 2374
Nacos Namespace 未授权访问漏洞
Nacos漏洞修复】Nacos未授权访问漏洞(CVE-2021-29441)
m0_52985087的博客
03-20 1万+
但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/console/server/state'
nacos未经授权创建用户漏洞
最新发布
秦子腾
03-23 489
打开nacos部署服务器输入命令 curl -XPOST -d “username=test123&password=test!
JDK安装2023最完整教程与配置(零基础)
bdfcfff77fa的博客
06-19 1527
JDK安装2023最完整教程与配置(零基础)
nacos未授权访问漏洞原理扫描
Gblfy_Blog
04-07 3808
解决方案 vim /nacos/conf/application.properties 添加 #开启认证配置 nacos.core.auth.enabled=true
Nacos未授权访问漏洞
00勇士王子的博客
02-27 6603
一般来说,nacos被建议部署在内网中,如果在外网出现,会有很大的风险。
Nacos 未授权访问漏洞
ljy啊虎的博客
09-07 2万+
Nacos 未授权访问漏洞 /nacos/v1/auth/users?pageNo=1&pageSize=9
遇见OFFER,阿里云最强技术团队现身招聘,“职”为你来
热门推荐
遇见OFFER
05-28 6万+
最近还在找工作吗?我们又来放送招聘信息啦!快来看看吧~
2020阿里招聘岗位要求
遇见OFFER
06-10 2万+
职位名称 职位描述 职位要求 阿里云智能事业群-中间件业务中台架构师-北京\杭州 1、负责阿里云中台项目的实施,设计行业业务中台解决方案,根据客户需求设计并搭建业务中台,并能把设计工作付诸实现 2、根据项目需求,进行业务领域建模分析、平台架构设计、技术方案预研、核心模块技术方案设计 3、指导和培养团队和合作伙伴成员,包括评审设计文档和代码 4、与团队共同推进标杆客户,制定符合市场需求的业务中台产品功能、业务流程及推广策略,赋能业务团队拿下市场份额,推动业务中台的业务增
【渗透实战】Nacos未授权访问(CVE-2021-29441)
Nafia的博客
02-20 5670
Nacos未授权访问漏洞挖掘记录
Nacos漏洞总结复现_nacos默认jwt密钥导致未授权访问
liuhyusb的博客
09-15 1282
Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
Nacos未授权访问漏洞(CVE-2021-29441)复现】
一纸荒芜的博客
10-26 3862
Nacos未授权访问漏洞复现
Nacos未授权访问漏洞复现,2024年最新网络安全高级工程师面试题
2401_83946722的博客
04-13 982
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!(img-Jzh9TTJd-1712972311103)]访问以上地址可以获取到已有的用户名和密码,如图。抓包将GET改成POST提交,即可创建任意用户。使用创建的test1/test1 用户成功登录。以上网址是默认登录页面地址,如图。
Alibaba Nacos 未授权访问漏洞(CVE-2021-29441)
YHXSunny123456789的博客
05-29 494
一年一度HW又要开始了,大家是否遇到这漏洞漏洞整改是要求升级nacos到1.4.1或者更高。一看nacos版本是满足这个要求的还是被扫除这个漏洞,在排查一圈后是nacos鉴权未开启也是会扫出这个漏洞。下面就是开启鉴权整改了。
spring 微服务nacos未授权访问漏洞修复
whandgdh的博客
06-17 7665
spring 微服务nacos未授权访问漏洞修复
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值