提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
前言
记录并自己复现下常见的未授权访问漏洞
一、Jupyter Notebook 未授权访问漏洞是什么?
Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。
如果管理员未为Jupyter Notebook配置密码,将导致未授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。
二、复现
1.搭建环境
下载vulhub分别输入以下命令进行搭建环境
cd /root/vulhub/jupyter/notebook-rce
docker-compose build && docker-compose up -d
可看到成功创建
漏洞利用
在Terminal 创建控制台处可以执行任意命令
三、防御方法
-开启身份验证,防止未经授权用户访问。
-访问控制策略,限制IP访问,绑定固定IP。