keycloak登录密码设置导致的弱口令安全漏洞

已于 2023-07-04 22:39:23 修改
阅读量3k 收藏 1
点赞数
分类专栏: java 文章标签: keycloak 微服务 安全漏洞 弱密码
于 2023-06-18 22:07:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010882234/article/details/131276588
版权

文章目录

keycloak介绍

  • Keycloak是一个开源的身份认证和授权管理系统,它提供了多种身份认证方式(例如:用户名/密码、OAuth、OpenID Connect、SAML 2.0等)和授权策略,为应用程序和服务提供了安全的用户结构和访问控制
  • Keycloak被广泛应用于企业系统中,尤其是在支持多种身份验证和单点登录的应用程序中,也可以与常用的开发框架(例如:Spring、React等)集成
  • Keycloak易于使用并提供了可扩展性和灵活性,可适用于各种应用场景,保障应用程序的信息安全和用户数据隐私

管理员弱口令漏洞

  • 本来用于提供安全访问控制的keycloak,由于我们设置的弱密码,变成了安全漏洞(虽然没损失,也不太好)
  • 某天我司被区网信办通报了,下函发文说我们部署在公网上的系统遭到了黑客网络攻击
  • 看了报告,是9080端口的弱密码漏洞,而且是很经典的用户名密码,admin admin
  • 漏洞详情通报如下:
网络安全风险情况

1.漏洞详情
监测发现,5月18日,境外黑客组织利用跳板(176.16.*.*、223.223.*.*),通过管理员弱口令(admin/admin)登录xxxxxx公司交通信号集中控制系统(xx.xx.xx.xx:9080),累计通联流量6.2MB。

2.修复建议
建议排查系统是否存在泄露数据风险,核查数据泄露原因、范围、风险及影响。

风险分析和排查处理

  • 这是我们部署到腾讯云的一套基础版平台系统,用于公司同事在外面访问和给客户远程演示之类的,没有做ip限制,允许互联网访问
  • 这套部署的平台,只有一些添加的测试数据,没有实际的路口和设备信息
  • 可能是我们平台名字或网页代码里带了“交通信号控制”这几个字,被黑客程序扫到了,当成政府软件系统的一部分,被黑客扫了
  • 看了下报告,应该是只扫到部署的中间件keycloak(就它9080端口),里面没有啥实质内容,只是keycloak中间件自带的操作界面
    在这里插入图片描述
  • 首先是把被扫描到的系统的keycloak密码改掉,改为强密码(防止以后被误启动后仍是弱密码)
  • 然后把平台服务关闭掉,不再提供服务,后续演示平台使用向日葵等远程方式投屏实现
  • 最后修改我们的部署脚本,将对外部署的版本的keycloak服务都改成强密码
  • 在这里还遇到一个小问题,修改完之后,登录和其他功能的权限校验都没问题,但在平台加载用户列表时报错,如下:
09:06:27,355 WARN  [org.keycloak.events] (default task-1) type=LOGIN_ERROR, realmId=master, clientId=admin-cli, userId=49c4ec90-1777-4c99-a1bd-d24339c8539b, ipAddress=172.18.0.13, error=invalid_user_credentials, auth_method=openid-connect, grant_type=password, client_auth_method=client-secret, username=admin, authSessionParentId=ad7d6212-3bf0-4275-bf1c-e31e2246bb9a, authSessionTabId=UfIvlTeTy8g
09:06:47,213 WARN  [org.keycloak.events] (default task-1) type=LOGIN_ERROR, realmId=master, clientId=admin-cli, userId=49c4ec90-1777-4c99-a1bd-d24339c8539b, ipAddress=172.18.0.13, error=invalid_user_credentials, auth_method=openid-connect, grant_type=password, client_auth_method=client-secret, username=admin, authSessionParentId=3990f6da-fa60-4935-a6fa-f47694d674ca, authSessionTabId=syDr4d1V_V8
  • 排查代码后发现,其他接口权限校验是验证已登录的token,用户列表接口是直接请求调用keycloak的服务的API接口,而修改密码时漏改了配置,修改后如下:
  core-app:
    image: core
    container_name: core
    volumes:
      - /etc/localtime:/etc/localtime
    depends_on:
      - postgresql
      - keycloak
      - redis
    environment:
      - _JAVA_OPTIONS=-Xmx1G -Xms512m
      - SERVER_PORT=8181
      - SPRING_PROFILES_ACTIVE=prod,api-docs,no-liquibase
      - SPRING_CLOUD_CONSUL_HOST=consul
      - SPRING_CLOUD_CONSUL_PORT=8500
      - KEYCLOAK_URL=http://keycloak:9080/auth
      - KEYCLOAK_USERNAME=admin
      - KEYCLOAK_PASSWORD=xxxxxx
      - SPRING_DATASOURCE_URL=jdbc:postgresql://postgresql:5432/core
      - SPRING_DATASOURCE_USERNAME=postgres
      - SPRING_DATASOURCE_PASSWORD=xxxxx.pgPW
      - SPRING_REDIS_HOST=redis
      - SPRING_REDIS_PASSWORD=xxxxx.redisPW

其他弱密码漏洞

  • 除了登录界面的弱密码漏洞,还有一些其他的弱密码漏洞,都需要我们注意
  • 例如,数据库弱密码漏洞、zookeeper等其他中间件的弱密码漏洞等
  • 有时候我们明明设置了很强的密码,也会被第三方机构扫描上报为弱密码漏洞。这些是误报,但是客户不会管那么多,肯定是需要我们处理掉的
  • 处理方式也很简单,把端口的调用,用防火墙做好访问限制,只允许自己的服务的ip端口访问,不对外开放
  • 如果是使用docker部署中间件,直接不把端口号暴露出来,服务调用中间件时,使用服务名称调用,也是可以的
  • 例如上面的core服务,使用了Redis和PostgreSQL,直接使用服务名调用,这2个服务的端口都不需要从docker里映射处理
  # 数据库服务,keycloak gateway core unit data-center都依赖此数据库
  postgresql:
    image: postgres:14.2
    container_name: postgres
    volumes:
      - ./volumes/postgresql/:/var/lib/postgresql/data/
      - /etc/localtime:/etc/localtime
    environment:
      - POSTGRES_USER=postgres
      - POSTGRES_PASSWORD=xxxxx.pgPW
      - POSTGRES_HOST_AUTH_METHOD=md5
      - TZ=Asia/Shanghai
    networks:
      - signal-network
    restart: always
  # 缓存服务
  redis:
    image: redis:7.0.4
    container_name: redis
    volumes:
      - /etc/localtime:/etc/localtime
    command:
      --requirepass "xxxx.redisPW" # 这一行是设置密码
    environment:
      - TZ=Asia/Shanghai
    networks:
      - signal-network
    restart: always
坚持是一种态度
关注
专栏目录
Keycloak JWT未被持久化 - 方法论理解不到位导致的问题
CodeShiftZ的博客
09-14 87
在某些情况下,开发人员可能会遇到Keycloak JWT未被持久化的问题,这可能是因为对于JWT的持久化方法论理解不到位。头部包含令牌的元数据,载荷包含有关用户或客户端的声明信息,签名用于验证令牌的完整性。在上述示例中,我们使用了常见的Java JWT库(jjwt)来处理JWT的生成和验证,并将JWT持久化到适当的存储介质中。确保根据您的需求和安全要求对JWT进行适当的处理和持久化。通过正确持久化Keycloak JWT,您可以有效管理身份验证和授权,并确保应用程序的安全性和一致性。
安全测试:如何识别和消除弱口令密码漏洞
AI天才研究院
06-27 4229
随着互联网的快速发展,网络安全问题日益严峻,各种网络攻击事件层出不穷。为了提高网络空间的安全性,保障用户的隐私和财产安全,网络安全测试应运而生。密码漏洞的识别主要涉及以下技术:(1) 暴力破解:也称为“猜测法”,是一种基于尝试所有可能的密码,查找是否满足系统要求的算法。例如,使用常见的密码列表(如“ common.cve20210213.txt”文件中的密码)进行暴力破解。(2) 弱口令扫描:通过自动化工具(如 aircrack-ng)对网络设备或用户口进行扫描,以发现弱口令
keycloak-通过keycloak服务API操作用户
YSTXDONG的专栏
03-04 2345
keycloak版本:23.0.7我的这篇博客中有简单配置方式,不赘述。keycloak有自己的用户体系,但是为第三方服务鉴权时可能会用到第三方服务的用户体系。这时候操作第三方服务的用户体系时可以通过API同步操作到keycloak中。官方文档:API列表。
keycloak密码加密
10-20
keycloak解决密码为明文的问题,使用md5进行加密。减少密码泄露的问题。配合对应的博客进行操作。
Spring Boot 整合 Keycloak
最新发布
HBLOG
09-28 1536
本文介绍了如何如何设置Keycloak 服务器,以及如何在 Spring Boot 中使用 Spring Security OAuth2.0 结合 Keycloak 实现认证和授权。
keycloak学习过程中遇到的一些坑
漫路求索的博客
06-30 6634
首先网上的一些文章写的不够详细清楚!导致我好多地方浪费了很多时间! 就拿最简单的一个 keycloak 数据库切换问题! 网上都只说了操作步骤,可是,这里面我按照步骤却出现了很多问题! 第一个问题: mysql 的连接 jar 包本问题! 目前自己测试了 5,6 ,8 三个大的版本!只有5没有出现任何问题! 第二个问题:就是连接后会报 09:16:00,596 ERROR ...
keycloak-poc
05-06
POC钥匙披风 向上移动钥匙斗篷 docker run --name keycloak -p 8081:8080 -d -e KEYCLOAK_USER=user -e KEYCLOAK_PASSWORD=change jboss/keycloak:6.0.1 分步配置 创建领域POC 列出的境界POC端点 GET localhost:8081/auth/realms/poc/.well-known/uma2-configuration 创建类型为client_credentials的clientId 客户菜单 创造 客户编号: poc-client 点击保存 在“客户端协议”中,选择“ openid-connect” 在访问类型中:选择机密 在“已启用授权”中,选择“打开” 在有效重定向URI中不填任何内容 点击保存 创建一个自定义角色 角色菜单 单击添加角色在“角色名称”中,
Keycloak
热门推荐
大强博客
07-07 2万+
关于Keycloak是一个针对现代应用程序和服务的开源身份和访问管理解决方案。它可以轻松保护应用程序和服务,几乎没有代码。本页简要介绍了Keycloak和一些功能。有关功能的完整列表,请参阅 文档。尝试Keycloak快速而简单。 有关详细信息,请查看“ 入门”教程。单点登录用户使用Keycloak而不是单个应用程序进行身份验证。这意味着您的应用程序不必处理登录表单,验证用户身份和存储用户。登录K...
网络安全 批量ftp暴力破解脚本 弱口令漏洞
04-21
批量ftp爆破的脚本,支持多线程,也不长
windows下FTP匿名登录弱口令漏洞及服务加固
09-30
FTP 弱口令或匿名登录漏洞,一般指使用 FTP 的用户启用了匿名登录功能,或系统口令的长度太短、复杂度不够、仅包含数字、或仅包含字母等,容易被黑客攻击,发生恶意文件上传或更严重的入侵行为
弱口令密码
04-30
内置内置90000多条使用频率最高的密码,是wifi密码破解或其他密码破解必备字典库。
keycloak-10.0.1.zip
05-12
keycloak10.0.1客户端下载,解压缩之后,windows双击bin目录下的standalone.bat即可运行,linux运行bin目录下的standalone.sh可以运行
keycloak-login-api-1.0-alpha-3.zip
10-13
robota.zip,idobata botrobota的android适配器使您的android手机成为idobata(https://idobata.io)bot
Keycloak入门
weixin_43744390的博客
08-25 731
Keycloak是什么,入门学习,相关概念,单点登录(SSO),OAuth2.0,SAML2.0,OpenId Connection,
Keycloak介绍
weixin_44227567的博客
03-26 2310
Keycloak是一个开源的身份和访问管理解决方案,它提供了单点登录(SSO)功能。Keycloak 支持多种标准协议,包括 OpenID Connect 和 OAuth 2.0,这使得它能够与各种服务进行集成,以提供身份验证和授权功能。单点登录(SSO):允许用户使用单一的凭证访问多个相关但独立的系统或应用。OpenID Connect 和 OAuth 2.0:支持这些行业标准协议,便于与其他系统和服务集成,如GitHub、Google和Facebook等社交媒体平台。用户管理和身份验证。
Keycloak【学习记录】
wifiiii的博客
10-30 1900
Keycloak Keycloak:是针对现代应用程序和服务的开源身份和访问管理解决方案。 目标:简化安全性,使用很少甚至没有代码即可轻松保护应用程序和服务的安全。开箱即用地提供了开发人员通常必须为自己编写的安全功能,可以轻松地针对组织的个性化需求进行定制。 提供的服务: 可自定义的用户界面,用于登录,注册,管理和帐户管理 和LDAP和Active Directory服务器做集成 将身份验证委派给第三方身份提供商,例如Facebook和Google 登录方面 单点登录 用户通过 Keycloak 进行身
Keycloak 初步 学习了解
漫路求索的博客
06-23 3576
docker 部署 keycloak //下载 keycloak docker pull jboss/keycloak 需要一个Keycloak实例,启动Jboss提供的Docker容器: docker run -d \ --name springboot-security-keycloak-integration \ -e KEYCLOAK_USER=admin \ -e KEYC...
Keycloak 简述】
格局决定一切,智恒方远
04-27 1827
1. 简述 本篇对Keycloak做一个初步的入门讲解,系统的认识Keycolak,以便大家理解后面的篇幅。 Keycloak 是用于 Web 应用程序和 RESTful Web 服务的单点登录解决方案。Keycloak 的目的是保持简单的安全性并保护应用程序开发人员在其组织内部署的应用程序和服务。开发人员通常必须自己编写的安全功能会立即提供,并且可以轻松地根据组织的个人需求进行定制。Keycloak 提供可定制的用户界面,用于登录、注册、系统管理和帐户管理。通过连接到现有的 LDAP 和 Active D
Keycloak概述
王老欠
03-14 6698
这里写自定义目录标题Keycloak概述Single-Sign OnKerberos社交登录用户合并客户端适配管理控制台用户管理控制台标准协议授权服务Getting Started Keycloak概述 keycloak是一个开源的,面向现代应用程序和服务的身份认证和访问控制解决方案。它使得应用和服务获得安全性变得容易,写很少的代码甚至零代码。 下面主要对keycloak的部分功能做简要介绍。完整...
用C++进行3*3的矩阵与3*2相乘
05-29
可以使用C++的多维数组和循环实现3x3的矩阵与3x2的矩阵相乘。具体步骤如下: 1. 定义3x3的矩阵A和3x2的矩阵B,并初始化它们的元素。 ```c++ int A[3][3] = {{1, 2, 3}, {4, 5, 6}, {7, 8, 9}}; int B[3][2] = {{1, 2}, {3, 4}, {5, 6}}; ``` 2. 定义一个3x2的结果矩阵C,并将其所有元素初始化为0。 ```c++ int C[3][2] = {{0, 0}, {0, 0}, {0, 0}}; ``` 3. 使用三重循环计算C矩阵的每个元素。外层循环遍历A矩阵的每一行,中间循环遍历B矩阵的每一列,内层循环计算对应元素的乘积并累加到结果矩阵的对应位置。 ```c++ for (int i = 0; i < 3; i++) { for (int j = 0; j < 2; j++) { for (int k = 0; k < 3; k++) { C[i][j] += A[i][k] * B[k][j]; } } } ``` 4. 输出结果矩阵C的所有元素。 ```c++ for (int i = 0; i < 3; i++) { for (int j = 0; j < 2; j++) { cout << C[i][j] << " "; } cout << endl; } ``` 完整代码如下: ```c++ #include <iostream> using namespace std; int main() { int A[3][3] = {{1, 2, 3}, {4, 5, 6}, {7, 8, 9}}; int B[3][2] = {{1, 2}, {3, 4}, {5, 6}}; int C[3][2] = {{0, 0}, {0, 0}, {0, 0}}; for (int i = 0; i < 3; i++) { for (int j = 0; j < 2; j++) { for (int k = 0; k < 3; k++) { C[i][j] += A[i][k] * B[k][j]; } } } for (int i = 0; i < 3; i++) { for (int j = 0; j < 2; j++) { cout << C[i][j] << " "; } cout << endl; } return 0; } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

坚持是一种态度

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值