nacos2.0.2漏洞分析及解决方法

最新推荐文章于 2024-07-01 13:53:20 发布
最新推荐文章于 2024-07-01 13:53:20 发布
阅读量1.2k 收藏 2
点赞数 2
分类专栏: SpringBoot 文章标签: spring boot spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liangweihua123/article/details/133700487
版权

绕过鉴权情况

1.

userAgentAuthWhite 设置为true,官方没有还没有解析为啥可以通过设置userAgent可以绕过鉴权

实验一

只要把请求header:User-Agent设置为:Nacos-Server即可绕过鉴权

实验二

只要把请求header:User-Agent设置为空值,Client-Version设置为:Nacos-Server即可绕过鉴权

上述漏洞修复:

nacos.core.auth.enable.userAgentAuthWhite=false

2.

Jwt公钥泄露,可以利用此进行jwt生成

此情况也可以进行api访问

上述漏洞修复:

  1. 文档中提供的密钥为公开密钥,在实际部署时请更换为其他密钥内容,防止密钥泄漏导致安全风险。
  2. 在2.2.1版本后,社区发布版本将移除以文档如下值作为默认值,需要自行填充,否则无法启动节点。
  3. 密钥需要保持节点间一致,长时间不一致可能导致403 invalid token错误。

3.

Identity.key identity.value 被窃取情况下,可以通过设置header信息绕过鉴权

最后结论

解决nacos2.0.2版本漏洞

1.开启api访问鉴权,设置客户端连接key、value

nacos.core.auth.enabled=true

nacos.core.auth.server.identity.key=nacos
nacos.core.auth.server.identity.value=nacos

2.屏蔽通过User-Agent绕过鉴权方式

nacos.core.auth.enable.userAgentAuthWhite=false

3.不要使用默认jwt公钥

客户端添加配置

注:这里的username 和password 是nacos 登录的账号密码

附1.4.0以下版本无法解决鉴权问题代码

RayLiang微博
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nacos-2.0.2.zip
06-21
nacos2.0.2源码,若有侵权,请及时告知。
Nacos惊现安全漏洞修复后问题仍旧存在
热门推荐
一个天秤座的架构师
01-18 2万+
你好,我是threedr3am,我发现nacos最新版本1.4.1对于User-Agent绕过安全漏洞的serverIdentity key-value修复机制,依然存在绕过问题,在nacos开启了serverIdentity的自定义key-value鉴权后,通过特殊的url构造,依然能绕过限制访问任何http接口。 通过查看该功能,需要在application.properties添加配置nacos.core.auth.enable.userAgentAuthWhite:false,才能避免User-A
nacos开启鉴权功能
qq_71416673的博客
04-22 1491
在之前的案例中部署好Nacos服务端后,默认没有开启鉴权,直接不用登录就能访问控制台,也能直接注册服务,存在很大的安全风险。之前也爆过Nacos权限认证绕过漏洞NacosNacos是一个内部微服务组件,需要在可信的内部网络中运行,不可暴露在公网环境,防止带来安全风险。Nacos提供简单的鉴权实现,为防止业务错用的弱鉴权体系,不是防止恶意攻击的强鉴权体系。如果运行在不可信的网络环境或者有强鉴权诉求,请参考官方简单实现进行自定义插件开发。接下来我们使用Nacos
nacos 添加鉴权
最新发布
wolf23151269的博客
07-01 1728
开启鉴权之后,你可以自定义用于生成JWT令牌的密钥,application.properties中的配置信息为:文档中提供的密钥为公开密钥,在实际部署时请更换为其他密钥内容,防止密钥泄漏导致安全风险。在2.2.0.1版本后,社区发布版本将移除以文档如下值作为默认值,需要自行填充,否则无法启动节点。密钥需要保持节点间一致,长时间不一致可能导致403 invalid token错误。### 2.1.0 版本后自定义密钥时,推荐将配置项设置为Base64编码的字符串,且原始密钥长度不得低于32字符。
Nacos 2.x 系列【5】开启鉴权
记录知识、锤炼自我
05-23 1817
在之前的案例中部署好Nacos服务端后,默认没有开启鉴权,直接不用登录就能访问控制台,也能直接注册服务,存在很大的安全风险。
nacos越权漏洞复现
u013008898的博客
02-06 989
nacos越权漏洞复现
你的Nacos还在裸奔吗?Nacos权限绕过漏洞
码猿技术专栏
11-14 6974
大家好,我是不才陈某~目前nacos越来越广泛,大多数的企业在使用微服务架构的时候,基本上都会选择nacos作为注册中心和配置中心。那nacos其实也是阿里开源的一个项目,存在漏洞,至少难免的。那我们今天就来分享一下nacos存在的漏洞问题,主要是一些安全漏洞的问题。毕竟现在很多政务的项目,都会做等保测试这块。等保做得多了,漏洞也就多了。这不,今天就又有一个漏洞了。那就开始修复喽!!!1.naco...
Nacos安全漏洞如何修复和升级
一个天秤座的架构师
01-18 2万+
今晚最新发布的1.4.1热修复版本已经对于User-Agent绕过安全漏洞的问题及控制台不可用的问题进行了全面的修复。对于漏洞及相关问题我不在赘述,接下来我主要讲如何进行升级加固。 一 下载最新的安装包 二 解压文件 解压文件到安装路径 tar -xvf /home/xxx/software/nacos-server-1.4.1.tar.gz -C /home/xxx/xxx/software/nacos 三 数据库升级 执行cong路径下面...
【云原生】nacos权限制认证--官方参考文档一阅
一个菜鸡的博客
12-04 6472
启用鉴权之后,需要在使用用户名和密码登录之后,才能正常使用nacos。开启鉴权之前,application.properties中的配置信息为: 开启鉴权之后,application.properties中的配置信息为: 注意:鉴权开关是修改之后立马生效的,不需要重启服务端。官方镜像如果使用官方镜像,请在启动docker容器时,添加如下环境变量 例如,可以通过如下命令运行开启了鉴权的容器: 除此之外,还可以添加其他鉴
Nacos鉴权和配置加密—官方原版
深圳市多克创新科技有限公司
02-08 1万+
Nacos鉴权和配置加密
nacos2.0.2.zip nacos2.0.2 windows和linux都有从外网GitHub上下载原版
08-24
在下载的"nacos2.0.2.zip"压缩包中,包含了以下几个关键组件和文档: 1. **nacos-server-2.0.2.tar.gz**:这是Nacos服务器的二进制发行版,采用tar.gz格式,适合在Linux系统中解压和运行。它包含了运行Nacos所需的...
nacos2.0.2版本依赖数据库sql脚本
07-17
nacos2.0.2版本依赖数据库sql脚本
nacos-server-2.0.2.zip
06-11
Nacos 2.0.2 版本是该平台的一个稳定版本,提供了更多优化和改进。 1. **服务发现**:在微服务架构中,服务发现是关键的一环。Nacos 提供了基于 DNS 或者 RPC 的服务发现机制,使得服务消费者可以轻松找到服务提供...
Nacos2.0.3部署记录
FrankenFunc的博客
12-24 1083
###部署环境 Nacos官方文档入口 Nacos采用StatefulSet部署方式,集群部署,使用外部数据库作为数据持久化。 部署集群:阿里云k8s ywy-prod-1.18.8-aliyun.1 namespace:default nacos2.0.3 MySQL:8.0/5.7 域名:http://nacos.xxx.com.cn/nacos ###SVC文件 apiVersion: v1 kind: Service metadata: name: nacos-headless lab
Nacos—鉴权详解
深圳市多克创新科技有限公司
10-30 8736
Nacos—鉴权
nacos权限认证(二) 开启权限认证
大话家的博客
05-31 2万+
直接设置下述属性为true,就可以避免 nacos权限认证(一) 中的问题。 这个时候再访问nacos页面,则会直接报错。因此,还需要再设置两个属性(数值可以随便填)。添加好这两个属性时页面就能正常访问了。注意:如果你遇到这种情况,只需要关闭提示,点击用户名,登出,然后重新登录即可。这个时候,如果你加修改直接启动其他服务,则其他服务无法正常连接nacos,也需要坐一番配置。需要再其他服务的配置文件中加上如下配置。 这样,其他服务就能正常连接nacos了。至此,nacos的权限漏洞问题就解决了。
docker部署的nacos2.2x开启鉴权功能
W1124824402的博客
04-28 831
nacos2.2.0版本之后如果不开启鉴权,那么默认不需要登录就可以访问
nacos权限认证(三) nacos.core.auth.server.identity的作用
大话家的博客
06-02 2万+
一、关于nacos权限校验
留后门?Nacos被爆存在严重的旁路身份验证安全漏洞
xmt1139057136的专栏
01-16 1691
留后门?Nacos被爆存在严重的旁路身份验证安全漏洞!2021 年 1 月 15 日,也就是昨天,Nacos 发布了新版本 1.4.1。该版本发布了很多新特性和增强的功能。这次发布的新版...
nacos2.0.2依赖sql
07-12
Nacos 2.0.2 是一个开源的服务发现和配置管理平台,它可以用于动态配置管理、服务注册和发现等功能。Nacos 2.0.2 并不直接依赖于 SQL 数据库,它默认使用嵌入式的键值存储(Embedded KV)来存储配置和服务注册信息。 然而,Nacos 也提供了对外部数据库的支持,包括 MySQL、Oracle、PostgreSQL 等。通过配置相应的数据源和连接信息,您可以将 Nacos 配置为使用 SQL 数据库进行存储。 具体来说,您可以通过修改 Nacos 的配置文件(nacos/conf/application.properties 或 nacos/conf/application.yaml)来配置数据库相关信息。以下是一个示例: ``` spring.datasource.platform=mysql db.num=1 db.url.0=jdbc:mysql://localhost:3306/nacos?characterEncoding=utf8&connectTimeout=1000&socketTimeout=3000&autoReconnect=true db.user=username db.password=password ``` 在上述示例中,我们将数据库平台设置为 MySQL,配置了一个名为 "nacos" 的数据库,并提供了相应的连接信息。 请注意,使用 SQL 数据库存储会对性能产生一定的影响,因此在选择是否使用 SQL 数据库时需要权衡考虑您的业务需求和性能要求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值