记一次处理项目漏洞

已于 2022-05-31 14:59:57 修改
阅读量3.6k 收藏 9
点赞数 1
文章标签: java spring boot 开发语言
于 2022-05-18 08:54:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39061227/article/details/124830208
版权

某项目生产环境扫描出漏洞,共两类:

1、RocketMQ可视化管理控制台未授权访问

2、Spring Boot Actuator 配置接口对外开放

问题处理:

1、RocketMQ可视化管理控制台未授权访问

现象:RecketMQ可视化控制台可以直接登录

修复方式:

1).增加加密文件plain_acl.yml,放置在conf目录下

globalWhiteRemoteAddresses:
#- 127.0.0.1

accounts:
- accessKey: RocketMQ
  secretKey: 12345678
  whiteRemoteAddress:
  admin: false
  defaultTopicPerm: DENY
  defaultGroupPerm: SUB
  topicPerms:
  - topicA=DENY
  - topicB=PUB|SUB
  - topicC=SUB
  groupPerms:
  # the group should convert to retry topic
  - groupA=DENY
  - groupB=PUB|SUB
  - groupC=SUB

- accessKey: rocketmq2
  secretKey: yuanian_ecs_mq
  whiteRemoteAddress: 
  # if it is admin, it could access all resources
  admin: true
  defaultTopicPerm: SUB|PUB
  defaultGroupPerm: SUB|PUB

2).修改broker.conf文件增加

#该项配置是开启acl安全认证配置,开启后,需要注意rocketmq_console与项目服务的配置,否则会导致MQ访问鉴权失败,默认不开启。
aclEnable=true

3).修改docker-compose文件
根据下图 修改增加两行配置

#broker添加如下
      - ./conf/plain_acl.yml:/opt/conf/plain_acl.yml
#console添加如下
MQ_CAL_OPT: --rocketmq.config.loginRequired=false  --rocketmq.config.loginName=loginName --rocketmq.config.password=password --rocketmq.config.accessKey=rocketmq2 --rocketmq.config.secretKey=yuanian_ecs_mq

4).需要在应用的application-xxx.yml中增加配置

根据预算项目的情况需要修改console、mr、mdd下的yml文件:

#是否启用安全链接,和accessKey、secretKey配套使用,根据MQ部署情况配置accessKey用户名secretKey密码

aclEnable: false

accessKey:

secretKey:

示例如下:

调整配置后,重启服务,验证结果如下:

 

 结论:感觉处理的方式就是想展现的内容进行了加密处理。

2、Spring Boot Actuator 配置接口对外开放

现象:浏览器可以直接打开:http://ip:port/console/actuator/env 会直接暴露信息,截图如下:

 修复方式:

修改对应服务的yml配置文件:

include: "*"   改为  include: health,prometheus

修改前的配置如下:

management:
  health:
    redis:
      enabled: true
  endpoints:
    web:
      exposure:
        include: "*"
  endpoint:
    health:
      show-details: ALWAYS

修改后如下:

management:
  health:
    redis:
      enabled: true
  endpoints:
    web:
      exposure:
        include: health,prometheus
  endpoint:
    health:
      show-details: ALWAYS

修改后,重启服务即可,验证结果如下:登录之前的地址http://ip:port/console/actuator/env

 关于Spring boot actuator端点启用和暴露,可以参考:

Spring boot actuator端点启用和暴露_艾米莉Emily的博客-CSDN博客

qq_39061227
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Apache RocketMQ RCE漏洞复现(CVE-2023-33246)
0xSec
06-01 8867
RocketMQ 5.1.0及以下版本,在一定条件下,存在远程命令执行风险。RocketMQ的NameServer、Broker、Controller等多个组件暴露在外网且缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。
CVE-2023-33246 Apache RocketMQ 命令注入漏洞复现及分析
牛叫兽的测试学习和分享
06-02 8632
CVE-2023-33246 漏洞复现及分析
RocketMq NameServer未授权访问导致远程代码执行(CVE-2023-37582)
whoami
07-14 2332
在CVE-2023-37582 中,由于对 CVE-2023-33246 修复不完善,导致在Apache RocketMQ NameServer 存在未授权访问的情况下,攻击者可构造恶意请求以RocketMQ运行的系统用户身份执行命令。{"code":0,"flag":1,"language":"JAVA","opaque":266,"serializeTypeCurrentRPC" 字样,即表示RocketMq NameServer是未授权访问的,可能存在漏洞。以此向crotab写入可执行的定时命令。
关于处理漏洞rocketmq升级到最新版本的详细过程
最新发布
qq18346342939的博客
05-20 484
6、新版服务启动成功,旧版本文件夹可以备份后删除,然后去测试相关功能是否正常即可!2、发现运行的是5.1.2版本,使用如下两个命令,优雅的停掉当前运行的版本。3、再次执行查看rocketmq运行情况,发现已正常停运。3、进入到解压后的rocketmq的conf路径下。5、再次查看rocketmq是否正常启动。4、运行最新版本的rocketmq。5、进入bin路径下。
漏洞分析|Apache RocketMQ 远程命令执行漏洞(CVE-2023-33246)
xuandaoren的博客
11-16 1892
RocketMQ的NameServer、Broker、Controller等多个组件缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。进入for循环后在 org.apache.rocketmq.broker.filtersrv.FilterServerUtil 中给的 callshell 方法去执行命令。72行调用方法 buildStartCommand。该中间件本来就是每30秒执行一次漏洞产生的就是修改了配置文件,变量被赋值为了恶意命令,导致了命令执行。
漏洞复现】Apache RocketMQ 命令注入漏洞(CVE-2023-33246)
做自己喜欢的事,并将其发挥到极致!
06-11 4640
RocketMQ是一款分布式消息中间件,专为万亿级超大规模的消息处理而设计,具有高吞吐量、低延迟、海量堆积、顺序收发等特点。同时它是一个分布式消息和流数据平台。在RocketMQ 5.1.0及以下版本在一定条件下,会存在远程命令执行风险;由于RocketMQ的NameServer、Broker、Controller等多个组件暴露在外网且缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外攻击者还可以通过伪造 RocketMQ 协议内容来达到同样的效果。
七龙珠小组第一次会议录1
08-08
本次“七龙珠小组”的第一次会议,主要议题是关于网络被攻击过程图形化显示系统的讨论。会议于2020年9月8日晚上20点30分在三号学生公寓举行,由汪一帆担任主持人,张明熙负责录。参与此次会议的成员包括冯蒙博、申...
python 代码审计项目.zip
01-17
Git是常用的版本控制系统,它录了代码的每一次修改,便于团队协作和回溯。文档应当清晰地解释项目结构、代码逻辑以及如何运行和测试代码,如使用README.md文件。 综上所述,"python 代码审计项目.zip"涵盖了...
七龙珠小组第二次会议录1
08-08
- **概要设计**:更新了总体设计、需求规定、运行环境、处理流程结构、运行设计、数据结构设计以及系统出错处理设计等方面,确保项目设计的全面性和可行性。 - **项目风险计划**:明确了可能的风险条目,进行了...
JAVA上百实例源码以及开源项目
01-03
 当用户发送第一次请求的时候,验证用户登录,创建一个该qq号和服务器端保持通讯连接得线程,启动该通讯线程,通讯完毕,关闭Scoket。  QQ客户端登录界面,中部有三个JPanel,有一个叫选项卡窗口管理。还可以更新...
开源项目-OWASP-Amass.zip
10-24
其中,OWASP Amass 是一个由该组织支持的开源项目,专门用于DNS枚举。该项目由Go语言编写,旨在帮助安全研究人员、渗透测试人员以及网络安全团队收集关于目标网络的详细信息。 Amass 的主要功能包括: 1. **全面的...
CVE-2023-33246 RocketMQ RCE漏洞
mirocky的博客
12-21 1079
RocketMQ是一款纯java、分布式、队列模型的开源消息中间件,主要用于在分布式系统中进行异步消息传递,支持事务消息、顺序消息、批量消息、定时消息、消息回溯等功能。RocketMQ有四个核心组成部分:NameServer:RocketMQ的服务注册中心,用于保存Broker相关元信息;Broker:消息存储中心,接收并存储Producer的消息,Consumer从此处获得信息,Master节点可写可读,Slave节点不可写只可读;Producer:消息生产者;
一次RocketMq漏洞
qq_39939541的博客
11-15 1243
录一下mq重协商漏洞
Apache RocketMQ远程命令执行漏洞【CVE-2023-37582】
holyxp的博客
07-14 2988
Apache RocketMQ是一款开源的分布式消息和流处理平台,提供高效、可靠、可扩展的低延迟消息和流数据处理能力,广泛用于异步通信、应用解耦、系统集等场景。加密货币行业有大量平台采用此产品用来处理消息服务,注意风险。当RocketMQ的NameServer组件暴露在外网时,并且缺乏有效的身份认证机制时,攻击者可以利用更新配置功能,以RocketMQ运行的系统用户身份执行命令。7.12日Apache RocketMQ发布严重安全提醒,披露远程命令执行漏洞(CVE-2023-37582)
RocketMQ安装与初步使用
chenjiexong的博客
04-09 2775
RocketMQ
【高危】RocketMQ NameServer存在远程代码执行漏洞(PoC)
murphysec的博客
07-24 423
RocketMQ 是一个开源的分布式消息中间件,NameServer 为 Producer 和 Consumer 节点提供路由信息的组件。
CVE-2023-37582 Apache RocketMQ 远程代码执行漏洞
蚁景网安学院
07-31 485
漏洞简介Apache RocketMQ是一款低延迟、高并发、高可用、高可靠的分布式消息中间件。CVE-2023-37582 中,由于对 CVE-2023-33246 修复不完善,导致在Apache RocketMQ NameServer 存在未授权访问的情况下,攻击者可构造恶意请求以RocketMQ运行的系统用户身份执行命令。影响版本Apache RocketMQ <= 5.1.1Apach...
Apache RocketMQ 命令注入漏洞(含批量验证poc)
weixin_43567873的博客
04-03 155
Apache RocketMQ 命令注入漏洞(含批量验证poc)
vue2项目安全漏洞扫描
06-08
对于Vue2项目的安全漏洞扫描,可以使用一些第三方工具来进行扫描和检测。以下是几个常用的工具: 1. Retire.js:可以检测项目中使用的第三方库是否存在已知的安全漏洞。 2. NPM Audit:可以检测项目中使用的npm包是否存在已知的安全漏洞。 3. Snyk:可以扫描项目中的依赖关系并检测是否存在已知的安全漏洞。 4. Dependency-check:可以检测项目中使用的第三方库是否存在已知的安全漏洞,并生成报告。 5. ESLint-plugin-security:可以用于检测项目中的 JavaScript 代码是否存在安全漏洞。 另外,也可以手动检查项目中的代码和依赖库,查看是否存在潜在的安全风险。例如,查看代码中是否存在未经过滤的用户输入,是否存在不安全的API调用等等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值