azkaban的安全漏洞,禁用TRACE

最新推荐文章于 2023-02-23 11:28:20 发布
最新推荐文章于 2023-02-23 11:28:20 发布
阅读量1.1k 收藏
点赞数
分类专栏: 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dengwei_dw/article/details/106213889
版权

azkaban的安全漏洞: Sun Java System Application Server 7和7 2004Q2的默认设置可以启动HTTP TRACE路径, 更易于远程攻击者通过一个跨站追踪工具窃取cookies和验证信任, 该问题与CVE-2004-2763和CVE-2005-3398相关

参考azkaban的github

https://github.com/azkaban/azkaban/pull/2044

https://github.com/azkaban/azkaban/pull/2044/commits/c7395bee157f7436cfa89936cb2281a1a22a46a4

下载最新版的azkaban的源码

按照https://github.com/azkaban/azkaban/pull/2044/commits/c7395bee157f7436cfa89936cb2281a1a22a46a4上面的+的修改对应的源码。

azkaban的安装请参照:https://blog.csdn.net/weixin_42179685/article/details/90716366

安装完成后,启动azkaban

使用 curl -v -X TRACE localhost:8081 来进行验证。

IT趣闻史
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
B02 - 087、Azkaban多服务模式② - 安装SSL安全认证
吾心持剑,剑锋披靡
06-30 200
初学耗时:0.5h 注:CSDN手机端暂不支持章节内链跳转,但外链可用,更好体验还请上电脑端。 一、   1.1    1.2  记忆词:     B02 - 999、部署大数据环境及部分编译  ギ 舒适区ゾ || ♂ 累觉无爱 ♀ 一、   1.1 ~    1.2 ~      1.2.1 .       1.2.2 .  ...
Azkaban
02-24
Azkaban是由Linkedin公司推出的一个批量工作流任务调度器,主要用于在一个工作流内以一个特定的顺序运行一组工作和流程,它的配置是通过简单的key:value对的方式,通过配置中的dependencies来设置依赖关系,这个依赖...
Azkaban WebServer弱口令登录
Kevin's Blog
05-11 1105
文章目录一、介绍二、漏洞原因三、检测方法四、防御方法 (全世界威胁站点服务使用数量统计:) 一、介绍   开源、运行Hadoop作业的批量工作流作业调度程序(组织调度复杂的执行计划调度系统),使用Job配置文件建立文件之间的依赖关系,并提供一个易于使用的web用户界面维护跟踪工作流。 二、漏洞原因   Azkaban web服务器用户配置文件中管理员用户密码使用弱密码。 (常见的管理员用户和密码) root root admin admin azkaban azkaban …… 三、检测方法 》》进入a
远端WWW服务支持TRACE请求
龙卷风摧毁停车场
02-23 2071
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求,结合其它浏览器端漏洞,有可能进行跨站脚本攻击,获取敏感信息,比如cookie中的认证信息,这些敏感信息将被用于其它类型的攻击。
azkaban内存泄露问题排查&解决记录
03-17 1349
azkaban-exec内存泄露问题解决
Azkaban execute-as-user配置及关闭user-to-proxy
weixin_43666570的博客
05-29 566
为了保证系统的安全性,Azkaban向用户提供了一种采用executor机器上的Linux用户执行job的方式,即execute-as-user。本文将说明Azkaban如何配置execute-as-user,并且修改Azkaban源代码,默认用user-to-proxy,强制Azkaban用户以当前身份提交作业。 1. 创建Linux用户和用户组 在Azkaban所有机器上创建用户,并将这些用户都加入到一个用户组中,选择其中一个用户启动Azkaban服务。为了举例方便,此处创建了四个用户,并将这些用户加
azkaban4.0编译包
02-09
Azkaban是一个开源的工作流执行引擎,主要用于大数据处理工作流的调度和管理。它由LinkedIn开发并维护,设计目标是简化Hadoop作业的调度...同时,定期关注Azkaban的更新和社区支持,以便获取最新的安全补丁和功能改进。
Azkaban简介
03-03
Azkaban是一套简单的任务调度服务,整体包括三部分webserver、dbserver、executorserver。Azkaban是linkin的开源项目,开发语言为Java。Azkaban是由Linkedin开源的一个批量工作流任务调度器。用于在一个工作流内以一...
Azkaban.zip
07-25
Azkaban是一款开源的工作流管理工具,主要用于大数据处理工作流的调度和执行。这款工具由LinkedIn开发,并且在大数据社区中被广泛使用。Azkaban提供了直观的Web界面,使得用户可以方便地创建、管理和执行复杂的任务...
12_Azkaban案例实践5_Command操作Hive脚本任务
weixin_33692284的博客
07-16 169
HIVE脚本任务   hadoop fs -mkdir -p /aztest/hiveinput   hadoop fs -put az.data /aztest/hiveinput/   l创建job描述文件和hive脚本     Hive脚本: test.sql use default; drop table aztest; create table aztest(id i...
Apache Shiro Padding Oracle漏洞可导致远程命令执行漏洞解决
01-09
背景:Apach Shiro官方披露其cookie持久化参数rememberMe加密算法存在漏洞,可被Padding Oracle攻击,攻击者利用Padding Oracle攻击手段可构造恶意的rememberMe值,绕过加密算法验证,执行java反序列化操作,最终可导致远程命令执行获取服务器权限,风险极大。 1,漏洞描述: Apache Shiro < 1.4.2 版本中cookie值rememberMe通过AES-128-CBC模式加密,容易受到Padding Oracle攻击。攻击者可以通过以下步骤完成攻击: 1、登录Shiro网站,获取持久化cookie中rememberMe字段的值;
安全验证漏洞修复总结
11-17
安全验证漏洞修复总结 `
azkaban 任意代码执行
DUANYU23的博客
04-10 790
azkaban 任意代码执行0X001前言0X002 漏洞影响0X003 漏洞原理0X004 漏洞复现0X004 漏洞复现0X041 空间搜索寻找目标0X042 尝试登陆/爆破密码0X043 上传代码0X005 POC0X006 修复建议 0X001前言 Azkaban是由Linkedin开源的一个批量工作流任务调度器。用于在一个工作流内以一个特定的顺序运行一组工作和流程。 Azkaban定义了一种KV文件格式来建立任务之间的依赖关系,并提供一个易于使用的web用户界面维护和跟踪你的工作流。 azkaban
zookeeper关于 www支持trace请求漏洞修复方法
编程随手记
01-04 2059
一个是adminServer端口, 这个升级到>=3.6.2版本可以解决 还有个事prometheus监控的server服务 这个需要修改源码, PrometheusMetricsProvider 继承 用这个类去启动prometheus监控服务 然后重新编译这个类, 在zk安装目录, 创建build/classes目录, 将编译好的类放入这个目录下, 重启服务, 现在zk的prometheus监控服务已经不支持trace访问了, 漏洞修复。 ...
漏洞修复 Zookeeper、MySQL、Elasticsearch
yuansheng730的博客
02-13 1619
zookeeper、MySQL、Elasticserch、http 相关漏洞修复
azkaban的安装部署、使用与常见问题解决
成都往右的博客
10-25 9427
为什么需要工作流调度系统 一个完整的数据分析系统通常都是由大量任务单元组成: shell脚本程序,java程序,mapreduce程序、hive脚本等 各任务单元之间存在时间先后及前后依赖关系 为了很好地组织起这样的复杂执行计划,需要一个工作流调度系统来调度执行;
Azkaban调研
gaoqida的专栏
08-07 3516
Azkaban调研 在作业设计器中,实用哪种作业工作流的引擎是最主要的,现在对Azkaban和Oozie进行调研。 一.Azkaban介绍 Azkaban是一个类似于Oozie的任务调度系统,它以flow为执行单位进行调度,flow为预定义好的一个或者多个有依赖关系的Job工作流。同时它兼容所有的Hadoop版本,使用Web界面追踪每个任务的执行情况并且提供了邮件的支持。 Azkaban
那些年走过的azkaban的坑
Bryce_Loski的博客
07-06 2386
写在前面的话:azkaban这个轻量级的调度工具说实话报错信息真的很让人捉急,基本上提供不了什么有用的信息 1. java.lang.IllegalStateException: Process has not yet started 检查点一:检查flow文件内容是否写正确,格式问题,脚本路径。这一切都很重要!!! 检查点二:如果在集群中部署了多Executor模式。那么在这种模式下Azkaban web Server会根据策略,选取其中一个Executor取执行任务。如果给Azkaban调度扽脚本所需
azkaban shell
最新发布
06-14
Azkaban Shell是Azkaban项目的一部分,Azkaban是一个开源的工作流管理系统(Workflow Management System, WMS)。Azkaban Shell提供了一个命令行工具,允许用户直接与Azkaban服务器进行交互,执行工作流定义(Job Definition)以及管理作业(Jobs)的生命周期。它简化了对Azkaban的任务调度和监控,使得开发者和管理员可以通过命令行界面来运行工作流、查看任务状态、提交新的作业等操作。 使用Azkaban Shell,你可以执行以下任务: 1. **启动工作流**:通过命令行提交工作流定义文件,指定相关的参数和配置。 2. **查询状态**:获取特定工作流或任务的执行状态信息。 3. **监控进度**:实时查看工作流中的各个任务进度。 4. **调度任务**:根据预设的时间表自动调度作业执行。 5. **日志管理**:获取和分析工作流执行的日志输出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值