hippo4j监控系统未授权访问漏洞

最新推荐文章于 2024-02-23 00:49:26 发布

jacky 安全

最新推荐文章于 2024-02-23 00:49:26 发布

阅读量248

点赞数 1

分类专栏：代码审计文章标签： java github gitee 开源 Powered by 金山文档

本文链接：https://blog.csdn.net/m0_73042016/article/details/128975283

版权

代码审计专栏收录该内容

3 篇文章 0 订阅

订阅专栏

项目介绍

强大的动态线程池框架，附带监控报警功能。支持 JDK、Tomcat、Jetty、Undertow 线程池；Dubbo、Dubbox、RabbitMQ、RocketMQ、Hystrix 消费线程池（更多框架线程池还在适配中）。内置两种使用模式：轻量级依赖配置中心以及无中间件依赖版本。

项目地址

https://github.com/opengoofy/hippo4j

漏洞概述

hippo4j的租户管理模块模块的ThreadPoolController.中存在未授权访问漏洞，该漏洞源于删除线程池的

deletePool方法未对执行当前操作的用户进行身份验证，导致任意用户可通过访问DELETE /hippo4j/v1/cs/thread/pool/delete接口删除项目内的线程池

缺陷代码如下：

可见deletePool方法没有判断当前用户是否具有该权限员进行校验

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

jacky 安全

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
hippo4j监控系统未授权访问漏洞

未授权访问
复制链接

扫一扫

专栏目录

RTSP未授权访问漏洞详解与防护手段

不忘初心，护天下安全！

08-25

3032

RTSP (Real Time Streaming Protocol)，实时流协议，是一种应用层协议，专为流媒体使用。RTSP（Real Time Streaming Protocol），实时流传输协议，是TCP/IP协议体系中的一个应用层协议，该协议定义了一对多应用程序如何有效地通过IP网络传送多媒体数据，被广泛用于视频直播领域。为方便用户远程监控摄像头内容，许多摄像头厂商会在摄像头或 NVR 中开启 RTSP 服务器，用户可通过 VLC 等视频播放软件打开 rtsp 地址进行摄像头画面的实时查看。...

SpringCloud2 Hystrix无法访问/hystrix.stream解决方案

yamlsfe的博客

03-04

1603

原因在于SpringCloud2将 /hystrix.stream 交给了actuator管理；而actuator对其管理的路径都添加了 /actuator 前缀，且actuator默认只开启 /info 和 /health 两个路径。解决办法步骤1 开放 /hystrix.stream 访问(两个方法任选) 方法1.1 application.yml中添加actuator配置项 manag...

参与评论您还未登录，请先登录后发表或查看评论

Hippo4j和DynamicTp动态线程池介绍和使用中遇到的坑

qq_34905631的博客

03-21

3333

Dromara致力于微服务云原生解决方案的组织这个口号：为往圣继绝学，一个人或许能走的更快，但一群人会走的更远和愿景：让每一位开源爱好者，体会到开源的快乐是我比较喜欢的，至于开放里面的兼容性，这个我就不太喜欢了，在使用Hippo4j和DynamicTp两款动态线程池的框架的时候就发现这个问题是在是让人头大，开源的东西一般都是这种兼容性不是那么好，发现框架bug要么不用要么给官方提issues要么自己上手调试改源码。

国内Foscam制造的IP摄像头被曝出大量漏洞

weixin_34232363的博客

07-04

220

近期，研究人员在国内Foscam制造的IP摄像头中发现了大量安全漏洞。据了解，这些漏洞其实早在几个月前就已经上报给厂商了，但直到目前为止我们仍然没有拿到可用的更新补丁。由于很多品牌的产品都使用了Foscam摄像头，因此我们建议广大用户确定自己IP摄像头的制造商，如果有必要的话还需要用户自己动手采取缓解措施。　　Foscam的IP摄像头被曝存在大量安全...

【开源项目】动态线程池框架Hippo4j源码解析

秋装什么的博客

12-24

1012

【开源项目】动态线程池框架Hippo4j源码解析

浅析SpringBoot框架常见未授权访问漏洞

道阻且长，行则将至。

02-23

7575

本文总结学习了 Swagger-UI、SpringBoot Actuator、Druid、Webpack 组件的未授权访问漏洞基本原理与漏洞探测方法，在介绍了几款自动化扫描工具的同时，也简要分析了 CVE-2022-22947 Spring Cloud Gateway RCE 漏洞。

hippo4j-develop.zip

03-14

强大的动态线程池框架，附带监控报警功能。支持 JDK、Tomcat、Jetty、Undertow 线程池；Dubbo、Dubbox、RabbitMQ、RocketMQ、Hystrix 消费线程池（更多框架线程池还在适配中）。内置两种使用模式：轻量级依赖配置...

hippo4j动态线程池框架 v1.5.0.zip

最新发布

03-21

在毕业设计或论文中，hippo4j框架是一个值得研究的实例，因为它涉及到并发编程和系统优化两大重要主题。通过深入分析hippo4j的设计思想和实现机制，可以加深对Java多线程、线程池原理的理解，同时也能学习到如何构建...

hippo4j动态线程池框架.rar

07-06

Hippo4J 是一个强大的动态线程池，附带监控报警功能，内置两种使用模式：轻量级依赖配置中心以及无中间件依赖版本。基于美团动态线程池设计理念开发，针对线程池增强动态调参、监控、报警功能。通过 Web 控制台...

Spring Boot Actuator未授权访问排查和整改指南

weixin_44106034的博客

10-19

2万+

1、信息泄露：未授权的访问者可以通过Actuator端点获取敏感信息，如应用程序的配置信息、运行时环境、日志内容等。这些信息可以被攻击者用于识别系统的弱点，并进行更深入的攻击。2、使用默认的敏感端点路径：默认情况下，Actuator的一些敏感端点路径（如/actuator/shutdown、/actuator/env）可能对未授权用户开放。2、系统破坏：攻击者可以通过Actuator端点的未授权访问，执行恶意操作，如修改配置、篡改数据、重启应用程序、关闭数据库连接等，从而破坏应用程序的正常运行。

hippo4j启动登录不上

wangwenzhe的博客

01-01

272

数据库链接上加上&useSSL=false。是因为数据库不支持ssl,需要关闭ssl。

给你介绍下，Hippo4J 动态线程池基础架构

Long-Tai

11-08

3615

很多小伙伴知道小编从今年六月份开始，陆陆续续开始提交 Hippo4J 动态线程池项目经过 200+ 的 Commit，也是快要能发布 1.0.0 正式版本，今天就写一篇文章正式介绍下 Hippo4J 的项目架构 Hippo4J GitHub：https://github.com/acmenlt/dynamic-threadpool 小伙伴如果访问 GitHub 速度慢，可以通过改 Host 的方式提高访问速度，修改 Host 方案 1. 架构设计简单来说，Hippo4J 从部署的角度上分为两种角色

【未授权访问】我就这么容易被曝光了吗？

kimol君的博客

08-06

2万+

【未授权访问】我怎么被监控了？前言一、洞穿一切1.获取用户名2.下载摄像头配置文件3.获取监控快照二、Fofa无边三、双管齐下1.爬取设备信息2.自动化检测写在最后前言时光转瞬，上一篇文章的时间定格在了半年前的情人节。由于各种原因，已经好久没有更新文章了，承蒙大家的喜爱，陆续收到了许多小伙伴的“催更”。有一说一：“心里是暖的❤️”。愿今后自己可以不忘初心，继续前行，将心中的一些想法，一些感受，一些技巧，一些故事与大家分享。恰巧前不久看到某康威视网络摄像头存在漏洞，于是，作为对万物充满好奇的少年，

中国Foscam制造的IP摄像机存在大量漏洞，且未被修复

weixin_34006965的博客

09-18

288

本文讲的是中国Foscam制造的IP摄像机存在大量漏洞，且未被修复，近日，中国Foscam公司制造的IP摄像机被曝存在多个安全漏洞。而在几个月前，这些漏洞信息就已经提交给了制造商，只是至今未曾修复。此外，还有其他一些品牌会销售Foscam制造摄像机，如OptiCam。所以，建议用户检查自家使用的IP摄像机的制造商，如有必要，请立即采取缓解措施，将损害...

druid监控页面未授权访问漏洞

m0_37354578的博客

06-30

1万+

一、项目环境 SpringBoot Version：2.4.5 二、问题场景项目中引入druid-spring-boot-starter，且spring.datasource.druid.stat-view-servlet.enabled配置为true时，可以直接访问Druid Monitor监控平台，可能会造成企业机密信息被攻击者获取 <dependency> <groupId>com.alibaba</groupId> <artifactId&g

常用的30+种未授权访问漏洞汇总

weixin_52501704的博客

08-11

8858

未授权访问漏洞汇总预览 1 、FTP 未授权访问（21） 2 、LDAP 未授权访问（389） 3 、Rsync 未授权访问（873） 4 、ZooKeeper 未授权访问（2181） 5 、Docker 未授权访问（2375） 6 、Docker Registry未授权（5000） 7 、Kibana 未授权访问（5601） 8 、VNC 未授权访问（5900、5901） 9 、CouchDB 未授权访问（5984） 15 10 、Apache Spark 未授权访问（6066、8.

SpringBoot druid监控页未授权访问漏洞

MonsterTiny的博客

08-18

8756

druid作为数据库连接池，默认配置监控页存在漏洞，可以通过直接通过GET /druid/index.html 直接访问，存在数据库数据泄露的风险。解决方法：在配置文件中禁用druid监控页或添加用户名密码 spring: datasource: druid: stat-view-servlet: # 是否启用StatViewServlet(监控页面),默认true-启动，false-不启动 enabled: false u

Redis未授权访问之反弹shell

weixin_33989780的博客

11-16

201

【转】https://zhuanlan.zhihu.com/p/25015624 https://www.secpulse.com/archives/40406.html 本文转自fatshi51CTO博客，原文链接：http://blog.51cto.com/duallay/1958108 ，如需转载请自行联系原...

hystrix详解