【漏洞复现】Sentinel Dashboard默认弱口令漏洞

已于 2024-01-15 09:14:18 修改
阅读量1.2k 收藏 9
点赞数 13
文章标签: web安全
于 2024-01-15 09:13:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37113223/article/details/135593062
版权
【漏洞复现】 专栏收录该内容
146 篇文章 1 订阅

已下架不支持订阅

Nx01 产品简介

        Sentinel Dashboard是一个轻量级的开源控制台,提供机器发现以及健康情况管理、监控、规则管理和推送的功能。它还提供了详细的被保护资源的实际访问统计情况,以及为不同服务配置的限流规则。

Nx02 漏洞描述

        Sentinel Dashboard存在默认弱口令sentinel/sentinel,攻击者可以利用此漏洞登陆后台接管对应权限。

Nx03 产品主页

hunter-query: web.title=="Sentinel Dashboard"

Nx04 漏洞复现

默认弱口令sentinel/sentinel

Nx05 修复建议

1.默认的账号和密码需要在生产环境中修改或禁用,否则可能存在安全隐患。

2.建议管理员及时修改密码或禁用不必要的账号,以提高系统的安全性。

晚风不及你ღ
关注
  • 13
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录

已下架不支持订阅

漏洞复现Sentinel Dashboard SSRF漏洞(CVE-2021-44139)
晚风不及你
01-15 1158
Sentinel Dashboard是一个轻量级的开源控制台,提供机器发现以及健康情况管理、监控、规则管理和推送的功能。它还提供了详细的被保护资源的实际访问统计情况,以及为不同服务配置的限流规则。
SpringCloud============sentinel流量防卫兵
m0_46938055的博客
03-21 244
1. 为什么需要sentinel 随着微服务的流行,服务和服务之间的稳定性变得越来越重要。在分布式系统里,许多服务之间通过远程调用实现信息交互,调用时不可避免会出现调用失败,比如超时、异常等原因导致调用失败,Sentinel能够保证在一个服务出问题的情况下,不会导致整体服务失败,避免级联故障(服务雪崩),以提高分布式系统的弹性。 比如电商中的用户下订单,我们有两个服务,一个下订单服务,一个查询商品服务,当用户下订单时调用下订单服务,然后下订单服务又调用查询商品服务,如果查询商品服务响应延迟或者没有响应,则会
SpringCloud Alibaba Sentinel 修改Dashboard用户名和密码
qq_50909707的博客
05-08 760
SpringCloud Alibaba Sentinel 修改Dashboard用户名和密码
Sentinel Dashboard集成Nacos
黎鉴洪的博客
07-26 1387
Sentinel Dashboard集成Nacos案例
手把手教你改造Sentinel Dashboard 实现配置持久化
听得到微笑的博客
06-16 1660
Sentinel客户端默认情况下接收到 Dashboard 推送的规则配置后,可以实时生效。但是有一个致命缺陷,Dashboard和业务服务并没有持久化这些配置,当业务服务重启后,这些规则配置将全部丢失。通过 API 直接修改 (loadRules通过DataSource适配不同数据源修改// 修改流控规则// 修改降级规则手动修改规则(硬编码方式)一般仅用于测试和演示,生产上一般通过动态规则源的方式来动态管理规则。上述。
springboot集成sentinel dashboard的配置
liaomingwu的专栏
12-26 2364
整合sentinel dashboard,在管理界面对流控规则和服务熔断降级进行动态修改,实现流控管理和降级管理。
spring cloud alibaba 应用无法注册到sentinel dashboard
寂夜了无痕的博客
08-11 3390
spring cloud alibaba 应用无法注册到sentinel dashboard
Sentinel Dashboard加不上规则解决方式
white_while的博客
11-05 1126
如图所示,增加流控规则返回success但是面板没有显示规则且不生效 升级了fastjson版本解决 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.28</version> </dependency> 改为 <dependency&g...
Sentinel dashboard持久化,持久化到nacos和数据库中(基于sentinel 1.8.2)
LeoHan
12-14 2893
我们知道,Sentinel dashboard默认是是没有持久化功能的,都是保存在内存中的,对于sentinel客户端同样如此,当在sentinel dashboard配置规则的时候,dashboard会获取对应应用配置的dashboard给应用传递消息的http,将规则通过HTTP请求发送给sentinel客户端,同样,sentinel客户端也是没有持久化的都是放在内存中的。 sentinel dashbord通过HTTP向sentinel客户端获取客户端的限流配置,而在dashboard更新配置之后则通
sentinel-dashboard 1.8.2.zip
10-09
Sentinel Dashboard 可以通过简单的步骤进行部署,首先解压 "sentinel-dashboard-1.8.2.zip" 文件,然后运行启动脚本(如 `dashboard.jar`),默认端口为 8080。用户可以根据需要配置环境变量或修改启动参数来调整...
sentinel-dashboard-1.8.3官网资源
08-18
"sentinel-dashboard-1.8.3官网资源"指的是Sentinel的1.8.3版本控制台的资源包,这个资源包中包含的主要组件是(sentinel-dashboard-1.8.3.jar),这是Sentinel Dashboard的可执行jar文件。 Sentinel Dashboard 是 ...
最新版 sentinel-dashboard-1.8.4.jar
04-13
最新版 sentinel-dashboard-1.8.4.jar
sentinel dashboard.zip
09-08
Sentinel DashboardSentinel 的配套监控管理工具,它提供了可视化的界面,允许用户实时监控服务的流量状态,并进行动态规则配置。 Sentinel Dashboard 的主要功能包括: 1. **实时监控**:Sentinel Dashboard ...
sentinel-dashboard.zip
08-21
默认情况下,Sentinel Dashboard 没有安全控制,生产环境使用时应配置相应的认证机制。 3. **连接应用**:为了让 Sentinel Dashboard 能够监控到你的应用程序,你需要在应用中引入 Sentinel 相关依赖,并配置连接 ...
网络安全之扫描探测阶段攻防手段(二)
子非渔
07-24 841
扫描探测阶段是攻击者对目标网络进行深入了解的关键步骤,同时也是防御者识别潜在威胁和加强安全防护的机会。
WEB安全】 PHP基础完整教学上(超详细)
weixin_60838266的博客
07-28 742
本文为Web安全学习中需要了解的php知识提高学习,PHP:Hypertext Preprocessor,中文名:“超文本预处理器”是一种通用开源脚本语言。语法吸收了C语言、java和Perl的特点,利于学习,使用广泛,主要适用于web开发领域。用PHP做出的动态页面与其他的编程语言相比,PHP是将程序嵌入到HTML(标准通用标记语言下的一个应用)文档中去执行,执行效率比完全生成HTML标记的CGI要高许多;PHP还可以执行编译后代码,编译可以达到加密和优化代码运行,使代码运行更快。
WEB安全】 PHP基础文件知识完整教学中(超详细)
最新发布
weixin_60838266的博客
07-29 623
正则表达式是用于描述字符排列和匹配模式的一种语法规则。它主要用于字符串的模式分割、匹配、查找及替换操作。到目前为止,我们前面所用过的精确(文本)匹配也是一种正则表达式。在PHP中,正则表达式一般是由正规字符和一些特殊字符(类似于通配符)联合构成的一个文本模式的程序性描述。正则表达式较重要和较有用的角色是验证用户数据的有效性检查。PHP中,正则表达式有三个作用:匹配,也常常用于从字符串中析取信息。用新文本代替匹配文本。将一个字符串拆分为一组更小的信息块。
网络安全相关竞赛比赛
黑战士的博客
07-18 1514
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
怎么使用sentinel dashboard
06-01
Sentinel DashboardSentinel的可视化管理界面,可以方便地进行规则配置、实时监控等操作。使用Sentinel Dashboard的步骤如下: 1. 下载Sentinel Dashboard的jar包,可以在Sentinel的官网或者GitHub上找到下载链接。 2. 启动Sentinel Dashboard,可以使用以下命令启动: ``` java -Dserver.port=8080 -Dcsp.sentinel.api.port=8719 -Dsentinel.dashboard.auth.username=admin -Dsentinel.dashboard.auth.password=admin -jar sentinel-dashboard.jar ``` 其中,`server.port`指定了Sentinel Dashboard的端口号,`csp.sentinel.api.port`指定了Sentinel的API端口号,`sentinel.dashboard.auth.username`和`sentinel.dashboard.auth.password`指定了Sentinel Dashboard的登录用户名和密码。 3. 打开浏览器,访问`http://localhost:8080`,输入用户名和密码登录Sentinel Dashboard。 4. 在Sentinel Dashboard中可以进行以下操作: - 配置规则:可以添加、修改、删除限流、熔断等规则。 - 实时监控:可以查看各个资源的实时请求、响应时间、异常比例等指标。 - 接入管理:可以添加、删除应用,并配置应用的基本信息。 - 系统管理:可以修改Sentinel Dashboard的登录用户名和密码等信息。 以上就是使用Sentinel Dashboard的简要介绍。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值