influxdb 未授权访问

最新推荐文章于 2023-11-11 13:08:44 发布
最新推荐文章于 2023-11-11 13:08:44 发布
阅读量1k 收藏
点赞数
分类专栏: 每日漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53086690/article/details/121476134
版权

influxdb 未授权访问

influxdb简介

InfluxDB是一个由InfluxData开发的开源时序型数据。它由Go写成,着力于高性能地查询与存储时序型数据。InfluxDB被广泛应用于存储系统的监控数据,IoT行业的实时数据等场景。

影响版本

InfluxDB < 1.7.6

漏洞简介

influxdb是一个数据库,使用jwt认证方式。在用户开启了认证,但未设置参数shared-secret的情况下,jwt的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在influxdb中执行SQL语句。

漏洞复现

访问地址发现有X-Influxdb-Version,所以这个是Influxdb数据库

在这里插入图片描述

访问{baseurl}/debug/vars会有一些服务信息

在这里插入图片描述

发送查询语句会报401错误

在这里插入图片描述

我们借助https://jwt.io/来生成jwt token

在这里插入图片描述

然后就可以查询数据库
在这里插入图片描述

摸鱼的码农
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
InfluxDB v1.8 中文文档
09-14
9. **安全性和权限管理**:InfluxDB提供用户认证和授权,可以创建不同的用户角色,限制对数据和数据的访问。 10. **备份与恢复**:InfluxDB支持备份和恢复功能,确保数据的安全性,用户可以通过命令行工具或API...
influxdb-1.7.4
02-25
3. 安全性增强:可能包括权限管理的改进,确保数据安全,防止授权访问。 4. 兼容性:1.7.4可能继续支持旧版本的API和查询语法,保证与早期版本的平滑过渡。 5. 用户体验:可能改进了命令行工具或Web UI,...
influxdb授权访问漏洞
zzzzz1284的博客
03-13 588
influxdb授权访问漏洞
数据安全InfluxDB 授权访问-Jwt验证不当 漏洞.
网络安全领域___专研者.
11-11 1169
InfluxDB 是一个开源分布式时序,时间和指标数据。其数据是使用​​​​​​​Jwt 作为鉴权方式,在用户开启认证时,如果在设置参数shared-secret的情况下,Jwt 认证密钥为空字符串,这样攻击者就能伪造任意用户身份在 InfluxDB 数据中执行SQL语句,因此会导致敏感信息泄露和执行威胁到数据的数据命令.
Influxdb授权访问&CouchDB权限绕过
weixin_54882883的博客
07-21 457
当我们发送数据包,可以看见一个OK的时候啊。对应版本最好不要高于1.7.0。默认端口80868088。还要另外一个是需要抓数据包的。然后在数据中添加一个部分。数据包中需要添加两个东西。FOFA可以怎么去试试。你就可以尝试去登录一下。这时候就可以查数据了。就可能用户添加成功了。...
InfluxDB API 授权访问漏洞
weixin_44912035的博客
12-31 1289
InfluxDB是一个使用Go语言编写的开源分布式,支持高并发的时序数据,其使用JWT作为鉴权方式。在用户开启了认证,但设置参数shared-secret的情况下,JWT的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在InfluxDB中执行SQL语句。 影响版本 InfluxDB < 1.7.6 的版本。 漏洞复现 标识:8086端口 HTTP API 的 X-Influxdb-Version 标志头 ...
InfluxDB 授权访问漏洞复现
weixin_52125240的博客
03-16 9728
InfluxDB 授权访问漏洞复现 前言:第一次复现漏洞,肯定会有很多不足的地方,这也是
InfluxDB-1.7.4_Windows_amd64.zip
02-24
7. **安全特性**:InfluxDB 1.7.4提供了用户认证和授权功能,允许控制对数据访问。用户可以设置不同的权限,保护敏感数据。 8. **备份与恢复**:InfluxDB支持在线备份和恢复,可以定期创建数据的快照,确保...
2.3版本influxdb
05-10
InfluxDB 2.3强化了安全特性,包括改进的身份验证和授权机制,支持多用户环境,确保数据访问安全。此外,还增强了TLS(Transport Layer Security)加密,保障数据传输的安全性。 6. **备份与恢复功能**: 2.3...
influxdb-1.8.4_windows_amd64.zip
06-02
6. **安全特性**:InfluxDB支持用户认证和授权,可以设置不同的访问权限,保障数据的安全性。 7. **数据保留策略**:用户可以定义数据保留策略,决定数据在数据中保存的时间长度,以优化存储空间。 8. **集群...
java操作influxdb时,出现HTTP status code: 401; Message: unauthorized access
qq_40788998的博客
06-19 1920
然后就行了哦,咱也不知道为啥,反正就是每次都要创建新的client。之前创建客户端是这样的。
解决使用InfluxDBClient报错influxdb.exceptions.InfluxDBClientError: 401 unauthorized
呆萌的代Ma
02-25 3836
查看自己的InfluxDB数据版本,如果版本是1.8+或是2.x,则:首先卸载influxdb后续使用来连接数据
服务攻防-数据安全-Influxdb&H2database&CouchDB&ElasticSearch数据漏洞复现
ran的博客
05-07 2327
默认端口:InfluxDB 是一个开源的时间序列数据,旨在处理大规模数据处理和分析的高写入和查询负载。它针对实时存储和查询大量时间戳数据进行了优化。InfluxDB 提供了一种类似 SQL 的查询语言称为 InfluxQL,允许用户从数据中检索和操作数据。它还支持各种客户端和插件,以与其他数据源和工具集成。InfluxDB 的一些主要特点包括:高写入和查询性能:InfluxDB 优化了高吞吐量数据摄取和检索,非常适合实时数据处理和分析。
数据漏洞-Influxdb+H2database 复现
xiaoheizi的博客
07-10 718
命令:java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C touch /tmp/success -A "服务器ip"抓取/query页面的数据包,将Get请求更改为Post请求,在请求中添加令牌,并且添加 POST 请求键值对:db=sample&q=show users。下载漏洞利用工具:https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0。
解密HTTP错误码401 Unauthorized:探索身份验证的奥秘
博客
08-15 8579
HTTP身份验证是Web应用程序中常用的一种安全机制,用于验证用户的身份并控制对资源的访问。它通过在客户端和服务器之间传递身份验证凭证来完成身份验证过程。摘要身份验证是一种更安全的身份验证方法。它使用摘要算法对用户名、密码和其他参数进行加密,以确保身份验证凭证的安全性。HTTP错误码401 Unauthorized是一种常见的错误码,表示客户端请求经身份验证或身份验证失败。
InfluxDB学习心得(上)
彬正的博客
05-11 3549
一、InfluxDB 简介InfluxDB 是用Go语言编写的一个开源分布式时序、事件和指标数据,无需外部依赖。类似的数据有Elasticsearch、Graphite等。其主要特色功能1)基于时间序列,支持与时间有关的相关函数(如最大,最小,求和等)2)可度量性:你可以实时对大量数据进行计算3)基于事件:它支持任意的事件数据InfluxDB的主要特点1)无结构(无模式):可以是任意数量的列2...
InfluxDB执行语句管理(query management)
cppdaxue_com的博客
03-28 768
文章目录 列出正在执行的语句—SHOW QUERIES 停止当前正在执行的语句-- KILL QUERY 配置文件中的命令管理选项 在influxDB的实际使用中,我们可能需要对正在执行的SQL语句进行分析、处理,帮助我们来定位问题。 本文就来给大家介绍下如何在influxDB下管理正在执行的语句。 更多InfluxDB技术请加入《InfluxDB技术交流群:580
请求因HTTP状态401失败:Unauthorized 的原因?
热门推荐
qq_43159578的博客
03-18 9万+
HTTP401错误原因:用户没有访问权限,需要进行身份认证。 任何客户端 ( 例如您的浏览器) ,都需要通过以下循环:从站点的 IP 名称 ( 即您站点的网址-URL, 不带起始的 ‘http://') 获得一个 IP 地址。这个对应关系 ( 即由 IP 名称向 IP 地址转换的对应关系 ) 由域名服务器 (DNSs) 提供。 打开一个 IP 套接字 (socket) 连接到该 IP 地址。通过该套接字写 HTTP 数据流。从Web服务器接受响应的 HTTP 数据流。该数据流包括状态编码, 其值取决于
influxdb云服务器
最新发布
04-24
InfluxDB云服务器是...3. 安全性:提供数据加密、访问控制和身份验证等安全功能,保护您的数据不受授权访问。 4. 可视化工具:内置的可视化工具可以帮助您快速创建仪表盘和图表,以便更好地理解和分析数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值