未授权访问:Jupyter Notebook 未授权访问漏洞

于 2024-05-21 08:00:00 发布
阅读量596 收藏 7
点赞数 8
分类专栏: 安全 未授权访问 文章标签: jupyter ide python web安全 安全 未授权访问 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68163788/article/details/138452786
版权

目录

1、漏洞原理

2、环境搭建

3、未授权访问

4、利用terminal命令执行

防御手段

今天继续学习各种未授权访问的知识和相关的实操实验,一共有好多篇,内容主要是参考先知社区的一位大佬的关于未授权访问的好文章,还有其他大佬总结好的文章:

这里附上大佬的好文章链接:常见未授权访问漏洞总结 - 先知社区

我在这只是学习大佬总结好的相关的知识和实操实验,那么废话不多说,开整。

第十四篇是关于Jupyter Notebook的未授权访问,这也是大佬总结的最后一个关于未授权访问的了

1、漏洞原理

Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。 如果管理员未为Jupyter Notebook配置密码,将导致未授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。

2、环境搭建

wget https://raw.githubusercontent.com/vulhub/vulhub/master/jupyter/notebook-rce/docker-compose.yml
docker-compose up -d

3、未授权访问

访问 2http://192.168.159.20:8888

可以成功的未授权访问到了后台页面

4、利用terminal命令执行

New > Terminal 创建控制台

可以看到可以执行任意命令

防御手段

  • -开启身份验证,防止未经授权用户访问。
  • -访问控制策略,限制IP访问,绑定固定IP。

到此关于Elasticsearch 未授权访问漏洞的基础知识就学习完了,这也是大佬总结的最后一片关于未授权访问的内容了,未授权访问的基础内容就算是学完了,后面还有很多知识等着我去学习,我们后面再见 (*^▽^*)

未知百分百
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Jupyter Notebook 授权访问远程命令执行漏洞
失心少年
08-06 989
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。笔记本可以包含代码、注释、图表、公式和可运行的代码块。Jupyter是一个开源的交互式计算环境,它支持多种编程语言,包括Python、R、Julia等。如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。
Jupyter Notebook 授权访问漏洞
weixin_51387754的博客
11-09 680
漏洞原理 Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。 如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。 漏洞复现 使用vulhub进入目录 (root????guiltyfet)-[/home/guiltyfet/vulhub] └─# cd jupyter
Jupyter NoteBook授权访问漏洞
最新发布
m0_73605862的博客
12-02 647
利用Jupter Notebook控制台执行系统命令,读取/etc/passwd内容。2.new下面直接进入终端,而且也不需要登录,我就直接进入了管理界面。3.直接把指令输入进入,指令就出来了。复现授权访问漏洞
漏洞复现----25、Jupyter Notebook 授权访问漏洞
七天
07-09 2098
文章目录Jupyter Notebook 授权访问漏洞一、运行环境二、漏洞复现三、漏洞防御 Jupyter Notebook 授权访问漏洞 Jupyter Notebook(此前被称为 IPython notebook)是基于网页的用于交互计算的应用程序,是一个交互式笔记本,支持运行 40 多种编程语言。Jupyter Notebook是以网页的形式打开,可以在网页页面中直接编写代码和运行代码,代码的运行结果也会直接在代码块下显示。 如果管理员Jupyter Notebook配置密码,将导致
exploit-classifier:这是一个NLP模型,用于根据漏洞描述对漏洞进行分类
02-20
这类漏洞通常是黑客攻击的目标,因为它们可以被用来获取授权访问、控制或损害目标系统。通过使用exploit-classifier,可以更快地识别出这些高风险的漏洞,从而优先处理。 "nlp-machine-learning"标签表明模型...
Codecademy:Codecademy课程的项目
02-12
密码学是一门涉及信息安全和通信保密的学科,它主要研究如何对数据进行加密和解密,以保护信息免受授权访问、篡改或窃取。在Codecademy的密码学课程中,学员们将学习到基本的加密技术、密码分析以及现代密码...
security2021
03-05
3. **权限管理**:限制对Jupyter Notebook服务器的访问权限,例如仅允许特定IP地址或用户连接,可以进一步加强安全性。 4. **日志记录**:启用日志记录并定期检查,以便追踪潜在的恶意活动。 5. **容器化**:利用...
jh-custom-init-sample:使用值查找演示自定义jupyterhub配置初始化的示例
02-15
jh-custom-init-sample 通过值查找演示自定义jupyterhub配置初始化的示例 先决条件 minikube必须正在运行 必须有一个名为jhub的命名空间 脚步 构建容器: ./build.sh 部署jupyterhub: ./setup.sh 完成后: ./destroy.sh 笔记 在此示例中,我们基于jupyterhub / k8s-hub映像创建了一个docker映像。 我们添加了一个名为mck_init的python模块,该模块将重写所需的设置。 我们从传递给jupyterhub掌舵表的config.yaml中调用该模块。 config.yaml中的景点 图像 这是我们建造的。 extraConfig 初始化python的自定义位。 我们正在调用我们的mck_init模块。 login_service / client_secret 这表明价值替代
Python库 | jupyterhub-0.9.0-py3-none-any.whl
02-16
9. **安全性**:尽管 JupyterHub 提供了安全基础,但管理员应确保遵循最佳实践,如使用 HTTPS、限制用户对系统资源的访问,并定期更新依赖以防止潜在的安全漏洞。 10. **社区支持**:JupyterHub 是一个活跃的开源...
PyPI 官网下载 | jupyter_server-1.0.0.tar.gz
01-12
在生产环境中运行`jupyter_server`时,必须考虑安全性,例如使用SSL/TLS加密通信,限制外部访问,设置强密码,以及定期更新以防范潜在的安全漏洞。 7. **与其他工具的集成**: `jupyter_server`可以与JupyterLab、...
Jupyter Notebook 授权访问漏洞总结
qq_45746681的博客
10-05 1773
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、Jupyter Notebook 授权访问漏洞是什么?二、复现1.搭建环境漏洞利用三、防御方法 前言 记录并自己复现下常见的授权访问漏洞 一、Jupyter Notebook 授权访问漏洞是什么? Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。 如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中
记录一次vulhub:Jupyter Notebook 授权访问漏洞复现
sszsNo1的博客
06-27 508
复现vulhub:Jupyter Notebook 授权访问漏洞
八、【漏洞复现】jupyter-notebook 命令执行(CVE-2019-9644)
weixin_52351575的博客
09-21 459
Jupyter Notebook是一套用于创建、共享代码和说明性文本文档的开源Web应用程序。(可能出现的问题:terminal无法打开,也就是一个空白页面【过几天再重启靶场就是好的了】)Jupyter Notebook可直接使用命令行执行任意命令。打开控制台进行命令输入​指令,这里我们输入ls /tmp。点击new---->terminal。2.网站图标 jupyter。(这种情况基本上很难遇到)授权开启终端权限的系统。1.有主页与明显logo。3.指纹识别工具探测。
漏洞复现-jupyter_notebook-命令执行】vulfocus/jupyter_notebook-cve_2019_9644
10-24 1856
jupyter_notebook-命令执行】功能点
Jupyter Notebook授权访问 getshell——漏洞复现
W小哥
11-05 1713
一、 Jupyter Notebook介绍 Jupyter Notebook(此前被称为 IPython notebook)是基于网页的用于交互计算的应用程序,是一个交互式笔记本,支持运行 40 多种编程语言。Jupyter Notebook是以网页的形式打开,可以在网页页面中直接编写代码和运行代码,代码的运行结果也会直接在代码块下显示。 二、Docker API 授权访问介绍 如果管理员Jupyter Notebook配置密码,将导致授权访问漏洞,游客可在其中创建一个console并执行任意Pyt
PYNQ-Z2入门指导手册_v2.01
08-03
- Jupyter Notebook是一种交互式计算环境,支持多种编程语言,如Python,它被用于数据科学、机器学习和硬件开发等领域。在PYNQ-Z2的引导中,Jupyter Notebook被用于在线编程,允许开发者在浏览器环境中编写、运行和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

未知百分百

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值