关于Nacos的越权访问漏洞问题的解决方案

已于 2023-09-22 09:44:02 修改
阅读量562 收藏 1
点赞数
文章标签: 安全
于 2023-09-22 09:42:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58875823/article/details/133157803
版权

http:******:8843//nacos/v1/auth/users?pageNo=1&pageSize=10越权访问漏洞问题。这是裸奔Nacos的漏洞。无论高底版本都会存在,哪怕是升级到2.2版本,依旧会存在该问题。解决方案如下:

修改Nacos的配置文件:

nacos.core.auth.enabled=true

nacos.core.auth.caching.enabled=true

nacos.core.auth.enable.userAgentAuthWhite=false

nacos.core.auth.server.identity.key=随便定义字符串

nacos.core.auth.server.identity.value=随便定义字符串

nacos.core.auth.plugin.nacos.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789

到这里,你会发现nacos的启动没问题,也不会存在越权漏洞的问题,但是接下来还会出现项目注册不到nacos的问题,原因是加了认证后,项目如果不指定注册时的用户名密码就注册不进去了。所以在项目的yml的配置文件中,就要指定用户名密码

你的问题是不是解决了呢?

佛系看生活
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nacos权限认证绕过漏洞复现
时乙的博客
03-12 2525
2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞 。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。
Nacos 常见问题及解决方法1
08-03
本文将针对其中几个典型问题提供解决方案,帮助用户更好地理解和优化Nacos的使用。 1. **日志打印频繁问题** 当Nacos的日志,特别是access日志,出现大量打印时,可能导致磁盘空间快速消耗,影响系统性能。可以...
nacos越权漏洞复现
u013008898的博客
02-06 978
nacos越权漏洞复现
nacos开启鉴权配置
最新发布
weixin_48838739的博客
06-07 1165
nacos开启鉴权配置
Nacos服务越权与身份验证绕过漏洞
tangshuangsss的专栏
01-11 1952
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介Nacos是SpringCloudAlibaba架构中最重要的组件,帮助构建云原生应用的动态服务发现、配置...
nacos的权限控制看nacos的配置热加载
cjf_wei的博客
12-30 2285
nacos的权限控制及配置热加载nacos的权限控制是什么样的nacos是如何进行权限控制的开启权限控制的开关为什么权限控制开关失效 最近在使用nacos,部署在k8s集群上,使用的是从源码自己打的镜像。在配置nacos的权限认证功能时, 发现无法生效,而且所谓的配置修改立即生效也无法实现,下面就探讨下这是什么原因导致的?同时也看下nacos所说配置修改立即生效是如何实现的? nacos的权限控制是什么样的 nacos通过将用户绑定到某个角色上,然后赋予某个角色对某个资源(命名空间)的读写权限,假如当前登录
Nacos漏洞总结复现
heike_Ch的博客
04-23 1240
Nacos中发现影响Nacos <= 2.1.0的问题Nacos用户使用默认JWT密钥导致未授权访问漏洞。通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户。
Nacos权限绕过漏洞
wybsw520的专栏
10-30 685
目前nacos越来越广泛,大多数的企业在使用微服务架构的时候,基本上都会选择nacos作为注册中心和配置中心。那nacos其实也是阿里开源的一个项目,存在漏洞,至少难免的。那我们今天就来分享一下nacos存在的漏洞问题,主要是一些安全漏洞问题。毕竟现在很多政务的项目,都会做等保测试这块。等保做得多了,漏洞也就多了。这不,今天就又有一个漏洞了。那就开始修复喽!!!
关于 Nacos 启动报错提醒 Error creating bean with name ‘basicAuthenticationFilter’
qq_33827423的博客
03-30 1943
提醒在创建 bean 的时候报错,当时在网上搜索说是 token.secret.key 的问题,之所以出现这个问题就是,由于我们没有指定默认的 token.secret.key ,官网在文中指出说是为了避免通过碰撞,绕过身份验证的安全漏洞问题。的 nacos 启动项目发现提醒一下报错。后自定义一个 key。此时就可以正常启动了。
Nacos2.2.2增加鉴权配置,防止NACOS身份登陆绕过漏洞
06-04
Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组...
nacos-2.0.1连接不上解决方案.docx
01-04
nacos-2.0.1连接不上解决方案
nacos无法连接mysql的解决方法.doc
11-25
Nacos 无法连接 MySQL 的解决方法是一个常见的问题,尤其是在使用 Nacos 0.7 版本时。这个问题的解决方法涉及到多个方面,包括 pom 文件的修改、项目编译、MySQL 配置等。 首先,需要修改 pom 文件中 MySQL 的依赖...
SpringCloud-Alibaba-Nacos启动失败解决方案
08-19
本文将介绍SpringCloud-Alibaba-Nacos启动失败解决方案,旨在帮助大家快速解决启动失败问题。 一、问题描述 在使用SpringCloud-Alibaba-Nacos时,可能会碰到启动失败的问题,例如双击startup.cmd后,窗口一闪而过...
Alibaba Nacos权限认证绕过漏洞复现
逍遥小哥的博客
07-18 6414
是一个易于使用的平台,旨在用于动态服务发现,配置和服务管理。它可以帮助您轻松构建云本机应用程序和。2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的未授权访问漏洞。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。为什么会产生这个漏洞?1.认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。
防止nacos 随意添加用户
gjp014的专栏
12-07 4140
nacos 配置
Nacos Spring Boot开启权限校验下的使用历程
cjf_wei的博客
01-21 5666
文章目录Nacos SpringBoot Demonacos客户端鉴权及getConfig流程 在此我们假设你已经成功启动了nacos(无论是standalone亦或是cluster模式),并且开启了权限校验 nacos.core.auth.enabled=true,如果您对权限校验还不明了,可以翻看 从nacos的权限控制看nacos的配置热加载 。 这里我们开始使用客户端来开启nacos使用之旅。好吧,先提前告知,一切并不顺利,因为我们盲目的去除了客户端依赖的fastjson… Nacos Spring
nacos权限认证(二) 开启权限认证
热门推荐
大话家的博客
05-31 2万+
直接设置下述属性为true,就可以避免 nacos权限认证(一) 中的问题。 这个时候再访问nacos页面,则会直接报错。因此,还需要再设置两个属性(数值可以随便填)。添加好这两个属性时页面就能正常访问了。注意:如果你遇到这种情况,只需要关闭提示,点击用户名,登出,然后重新登录即可。这个时候,如果你加修改直接启动其他服务,则其他服务无法正常连接nacos,也需要坐一番配置。需要再其他服务的配置文件中加上如下配置。 这样,其他服务就能正常连接nacos了。至此,nacos的权限漏洞问题就解决了。
Nacos未授权访问漏洞
00勇士王子的博客
02-27 6337
一般来说,nacos被建议部署在内网中,如果在外网出现,会有很大的风险。
Nacos 运维部署流程与常见配置方法
玖涯博客
03-09 2587
在使用 Nacos 时进行了一些配置的调整,过程中也遇到了一些问题,所以对 Nacos 部署上的一些要点进行了整理,详见官方文档:https://nacos.io/zh-cn/docs/v2/quickstart/quick-start.html 部署 Nacos 需要 JDK 环境,版本要求为 1.8 及其以上版本。如果采用源码部署方案,则需要 Maven,版本要求为 3.2 及其以上版本。
nacos未授权访问漏洞 修复
07-15
对于Nacos的未授权访问漏洞,建议你采取以下措施进行修复: 1. 更新到最新版本:确保你使用的Nacos版本是最新的,因为最新版本通常包含了安全修复和漏洞修复。 2. 配置访问控制:通过配置适当的访问控制策略,限制只有授权的用户或者IP可以访问Nacos。可以使用Nacos的权限管理功能来实现。 3. 强化认证和授权:启用强密码策略,使用复杂的密码,并定期更换密码。确保只有授权用户具有适当的权限来访问和管理Nacos。 4. 防火墙设置:配置防火墙来限制对Nacos访问,只允许来自可信源IP地址的请求。 5. 安全审计日志:启用安全审计日志功能,记录所有关键操作和访问日志。这有助于发现异常行为和及时应对潜在的安全威胁。 6. 定期备份:定期备份Nacos的数据,以防止数据丢失或损坏。备份可以帮助你在遭受攻击或数据丢失时快速恢复。 7. 安全漏洞扫描和测试:与安全团队合作,进行定期的安全漏洞扫描和安全测试,以发现并修复潜在的安全问题。 8. 及时响应:如果你发现任何安全问题漏洞,应立即采取措施进行修复和调查。可以向Nacos官方团队报告漏洞,并升级到已修复漏洞的版本。 请记住,安全是一个持续的过程,需要不断地关注和改进。通过以上措施,你可以提高Nacos安全性,并减少未授权访问漏洞的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值