未授权访问漏洞
文章平均质量分 93
未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问、从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。
一同吃泥
这个作者很懒,什么都没留下…
展开
-
未授权访问漏洞(三)
Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。ActiveMQ是一款流行的开源消息服务器。默认情况下,ActiveMQ服务是没有配置安全参数。恶意人员可以利用默认配置弱点发动远程命令执行攻击,获取服务器权限,从而导致数据泄落。原创 2024-08-09 02:09:15 · 265 阅读 · 0 评论 -
未授权访问漏洞(二)
Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40多种编程语言。如果管理员未为Jupyter Notebook配置密码,将导致未授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令,默认端口:8888。ElasticSearch是一个基于Lucene的搜索服务器。Elasticsearch的增删改查操作全部由http接口完成。原创 2024-08-08 11:58:58 · 1014 阅读 · 0 评论 -
未授权访问漏洞(一)
Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问Redis 以及读取 Redis 的数据。原创 2024-08-08 01:56:52 · 752 阅读 · 0 评论