Jupyter Notebook 未授权访问漏洞总结

最新推荐文章于 2024-05-21 08:00:00 发布
最新推荐文章于 2024-05-21 08:00:00 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: 未授权访问 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45746681/article/details/108932879
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

记录并自己复现下常见的未授权访问漏洞

一、Jupyter Notebook 未授权访问漏洞是什么?

Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。

如果管理员未为Jupyter Notebook配置密码,将导致未授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。

二、复现

1.搭建环境

下载vulhub分别输入以下命令进行搭建环境
cd /root/vulhub/jupyter/notebook-rce
docker-compose build && docker-compose up -d
在这里插入图片描述
可看到成功创建

漏洞利用

在Terminal 创建控制台处可以执行任意命令
在这里插入图片描述
在这里插入图片描述

三、防御方法

-开启身份验证,防止未经授权用户访问。

-访问控制策略,限制IP访问,绑定固定IP。

qq_45746681
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Jupyter Notebook 授权访问远程命令执行漏洞
失心少年
08-06 985
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。笔记本可以包含代码、注释、图表、公式和可运行的代码块。Jupyter是一个开源的交互式计算环境,它支持多种编程语言,包括Python、R、Julia等。如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。
Jupyter Notebook 授权访问漏洞
weixin_51387754的博客
11-09 680
漏洞原理 Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。 如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。 漏洞复现 使用vulhub进入目录 (root????guiltyfet)-[/home/guiltyfet/vulhub] └─# cd jupyter
Jupyter Notebook授权访问 getshell——漏洞复现
W小哥
11-05 1683
一、 Jupyter Notebook介绍 Jupyter Notebook(此前被称为 IPython notebook)是基于网页的用于交互计算的应用程序,是一个交互式笔记本,支持运行 40 多种编程语言。Jupyter Notebook是以网页的形式打开,可以在网页页面中直接编写代码和运行代码,代码的运行结果也会直接在代码块下显示。 二、Docker API 授权访问介绍 如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中创建一个console并执行任意Pyt
授权访问Jupyter Notebook 授权访问漏洞
最新发布
qq_68163788的博客
05-21 580
Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。 如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。
漏洞复现----25、Jupyter Notebook 授权访问漏洞
七天
07-09 2092
文章目录Jupyter Notebook 授权访问漏洞一、运行环境二、漏洞复现三、漏洞防御 Jupyter Notebook 授权访问漏洞 Jupyter Notebook(此前被称为 IPython notebook)是基于网页的用于交互计算的应用程序,是一个交互式笔记本,支持运行 40 多种编程语言。Jupyter Notebook是以网页的形式打开,可以在网页页面中直接编写代码和运行代码,代码的运行结果也会直接在代码块下显示。 如果管理员Jupyter Notebook配置密码,将导致
在PyCharm环境中使用Jupyter Notebook的两种方法总结
12-24
1、安装Jupyter Notebook pip install jupyter 2、在PyCharm中新建Jupyter Notebook文件 步骤:File-》New…-》Jupyter Notebook-》输入文件名 建好之后效果如下图所示,就是熟悉的Jupyter Notebook界面: 3、运行...
Jupyter notebook运行Spark+Scala教程
08-19
Jupyter Notebook 运行 Spark+Scala 教程 本教程主要介绍了如何在 Jupyter Notebook 中运行 Spark+Scala,具有很好的参考价值。下面将详细介绍标题、描述、标签和部分内容中所涉及的知识点。 标题:Jupyter ...
Jupyter notebook远程访问服务器的方法
12-25
一直苦恼于本地机器和服务器上都要配置一些机器学习方面的环境,今天花了点时间研究了下Jupter notebook远程访问服务器,所以记录一下。 有些步骤非必须,这里尽量写清楚,读者理解后自行决定如何安装,本文以非root...
jh-custom-init-sample:使用值查找演示自定义jupyterhub配置初始化的示例
02-15
jh-custom-init-sample 通过值查找演示自定义jupyterhub配置初始化的示例 先决条件 minikube必须正在运行 必须有一个名为jhub的命名空间 脚步 构建容器: ./build.sh 部署jupyterhub: ./setup.sh 完成后: ./destroy.sh 笔记 在此示例中,我们基于jupyterhub / k8s-hub映像创建了一个docker映像。 我们添加了一个名为mck_init的python模块,该模块将重写所需的设置。 我们从传递给jupyterhub掌舵表的config.yaml中调用该模块。 config.yaml中的景点 图像 这是我们建造的。 extraConfig 初始化python的自定义位。 我们正在调用我们的mck_init模块。 login_service / client_secret 这表明价值替代
Jupyter Notebook安装包
07-08
Jupyter Notebook安装包
解决jupyter notebook打不开无反应 浏览器启动的问题
09-17
- **防火墙设置**:确保防火墙没有阻止Jupyter Notebook访问,可能需要添加例外规则。 - **环境变量**:检查系统环境变量`PATH`是否包含了Python和Jupyter Notebook的路径。 - **更新或重装Jupyter Notebook**:...
记录一次vulhub:Jupyter Notebook 授权访问漏洞复现
sszsNo1的博客
06-27 505
复现vulhub:Jupyter Notebook 授权访问漏洞
jupyter-notebook 命令执行 (CVE-2019-9644)漏洞复现
weixin_42675091的博客
09-23 1267
jupyter-notebook 命令执行 (CVE-2019-9644)漏洞复现
漏洞复现-jupyter_notebook-命令执行】vulfocus/jupyter_notebook-cve_2019_9644
10-24 1844
jupyter_notebook-命令执行】功能点
Jupyter NoteBook授权访问漏洞
m0_73605862的博客
12-02 643
利用Jupter Notebook控制台执行系统命令,读取/etc/passwd内容。2.new下面直接进入终端,而且也不需要登录,我就直接进入了管理界面。3.直接把指令输入进入,指令就出来了。复现授权访问漏洞
jupyter notebook连接
06-28
您好,如果Jupyter Notebook连接,可能是以下原因: 1. 您的网络连接出现了问题,导致无法连接到Jupyter Notebook服务器。 2. 您的Jupyter Notebook服务器出现了故障,无法正常运行。 3. 您的浏览器或Jupyter ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值