Nacos安全漏洞修复方案:保护您的应用服务

最新推荐文章于 2024-04-22 12:00:00 发布
最新推荐文章于 2024-04-22 12:00:00 发布
阅读量2.4k 收藏 6
点赞数 1
文章标签: 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44002151/article/details/131254652
版权

尊敬的家人们,大家好!在过去的几年中,Nacos作为阿里巴巴推出的一项开源项目,为云原生应用的构建和管理提供了许多便利。然而,最近发现了一个安全漏洞,该漏洞可能导致未经授权的用户获取到敏感信息。为了确保您的应用程序的安全性,我们将在本文中向您介绍修复Nacos漏洞的方案

CVE编号

CVE-2021-29441

漏洞类型

远程数据修改

漏洞描述

Nacos 是阿里巴巴推出来的一个开源项目,这是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。利用这个未授权漏洞,攻击者可以获取到用户名密码等敏感信息。

推荐方案

前往GitHub官方页面获取最新版本:https://github.com/alibaba/nacos

解决方案

我们生产使用的nacos版本为2.1.0,未使用方便,未开启服务身份识别功能,这时我们可以通过postman或者直接在浏览器请求 http://ip:port/nacos/v1/auth/users?pageNo=1&pageSize=9,此时不需要身份认证就可以获取到用户数据;相应如下:

我们的解决方案是:

  1. 修改 nacos的application.properties配置文件nacos.core.auth.enabled=true,开启服务身份识别功能
  2. 重启nacos

此时我们再访问刚才的接口,换在浏览器执行如果出现这个:

出现403的说明修改成功

  1. Nacos注册及配置中心开启权限认证

以上修改完成以后,再次漏扫,nacos权限绕过漏洞(CVE-2021-29441)不会再出现

修己xj
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
Nacos 身份认证绕过漏洞(QVD-2023-6271)
feelxing的专栏
03-31 5329
Nacos 身份认证绕过漏洞(QVD-2023-6271),nacos版本从1.4.1升级到2.2.1最新版本
Nacos漏洞修复Nacos授权访问漏洞(CVE-2021-29441)
m0_52985087的博客
03-20 2712
但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/auth/users?命令:curl -X GET 'http://localhost:8848/nacos/v1/console/server/state'
Alibaba Nacos权限认证绕过漏洞复现
逍遥小哥的博客
07-18 5611
是一个易于使用的平台,旨在用于动态服务发现,配置和服务管理。它可以帮助您轻松构建云本机应用程序和。2020年12月29日,Nacos官方在github发布的issue中披露Alibaba Nacos 存在一个由于不当处理User-Agent导致的授权访问漏洞。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。为什么会产生这个漏洞?1.认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。
Nacos授权访问漏洞复现
最新发布
2301_80127209的博客
04-22 320
pageNo=1&pageSize=1,我们验证了一个漏洞存在(这是个靶场,,写这个多次一举),对其进行抓包放入重放模块后,修改为post模式(一定要修改!申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。了解了成因,了解了测试方法,本人为了偷懒不去抓包,就去编写脚本开始帮我吧,嘿嘿嘿。免费领取安全学习资料包!
Nacos漏洞总结复现
热门推荐
渗透测试研究中心
03-23 1万+
Nacos漏洞总结复现一、Nacos默认key导致权限绕过登陆0x00 漏洞描述Nacos中发现影响Nacos <= 2.1.0的问题,Nacos用户使用默认JWT密钥导致授权访问漏洞。 通过该漏洞,攻击者可以绕过用户名密码认证,直接登录Nacos用户0x01漏洞影响0.1.0 <= Nacos <= 2.2.00x02 漏洞搜索fofa:app="NACOS"0x03 ...
Hvv之Nacos漏洞分析与整改
天道酬勤
08-19 1400
nacos漏洞分析、复现与修复
Nacos身份绕过漏洞(QVD-2023-6271)复现学习
crowsec
03-17 6687
Nacos身份绕过漏洞(QVD-2023-6271)复现学习
Nacos Docker MySQL 8 版本:Nacos:2.2.3,mysql:8.0.30
06-13
nacos 密码已经修改过了:jzkj@nacos 端口8858/3316 直接启动:docker-compose -f example/...官方已发布新版本中修复上述漏洞,受影响用户请尽快升级到安全版本。 漏洞修复版本: Nacos >= 1.4.6 Nacos >= 2.2.3
nacos-sdk-csharp::rose:nacos csharp sdk
02-04
该项目已移至CI构建状态平台构建服务器主人身份Github动作Linux /视窗安装dotnet add package nacos-sdk-csharp-unofficial产品特点OpenApi基本用法集成ASP.NET Core配置系统使用ASP.NET Core进行服务注册和发现与...
nacos-nginx-template:通过Nacos让Nginx拥有服务发现能力
05-08
本项目以Agent的形式让Nginx实现对Nacos的服务发现. 快速启动 下载二进制包 点击此处下载: 配置config.toml 配置文件使用进行配置 demo : {nacos-nginx-template.home}/conf/config.toml.example 参数 描述 例子 ...
nacos example
12-10
nacos作为服务发现和动态配置的案例Demo,有助于学习Nacos
nacos-spring-project:Nacos Spring框架的ECO项目
04-29
,这是基于 ,完全拥抱春天生态系统,旨在帮助您构建Spring应用程序Swift。 该项目包含一个名为的核心模块。 它使您可以通过以下方式扩展现代Java编程模型: 这些功能在很大程度上依赖于Spring Framework 3.2+ API...
nacos-sync:服务同步组件
05-14
Nacos Sync 功能 控制台:提供用于管理的API和控制台 工作者:提供者服务注册同步。 建筑学 建筑拓扑 +-------------+ +----> |NacosClusterA| | +-------------+ +-------------+ | |NacosClusterB| Pull | ...
【问题篇】整改Nacos漏洞——升级Nacos以及开启鉴权问题整理
weixin_56995925的博客
08-06 1万+
整改Nacos漏洞——升级Nacos以及开启鉴权问题整理
SQL注入漏洞修复方案及代码审计
fengxioabai的博客
03-18 1024
⼀个成功的SQL注⼊攻击可以从 数据库中获取敏感 数据、修改数据库数据(插⼊/更新/删除)、执⾏数据库管理操作 (如关闭数据库管理系统)、恢 复存在于数据库⽂件系统中的指定⽂件 内容,在某些情况下能对操作系统发布命令。由于⽤户的输⼊,也是SQL语句的⼀部分,所以 攻击者可以利⽤这部分可以控制的内容,注⼊⾃⼰定义的语句,改变SQL语句 执⾏逻辑,让数据库执⾏任意⾃⼰需要 的指令。通过控制部分SQL语句,攻击者可以查询数据库中任何⾃⼰需要的数据,利⽤数据库的⼀ 些特性,可以直接 获取数据库服务器的系统权限。
Nacos系统历史CVE漏洞的复现分析与检测
道阻且长,行则将至。
02-07 2040
本文复现、分析、总结了 Nacos 近几年的历史 CVE 漏洞,可以看到大厂发布的开源系统并非“坚不可摧”,很多看似“合理”的业务需求会成为漏洞的发源地。作为开发或运维人员,在引入开源组件或系统到自身业务系统的时候,应该持续关注其是否爆出安全漏洞,并及时升级版本、修复漏洞
Nacos安全性探究
htydowd的博客
04-07 1198
3. 可能spring security的安全校验不符合要求,就自己定义了安全校验功能,将spring security配置成。Nacos提供的 filter 逻辑中,判断了 是否开启权限校验,如果没开启,则不校验。Nacos的 属性配置文件中已经明确写了,当前只支持 nacos 和 ldap两种,所以,Nacos在启动的时候,会注册一个 自定义的 filter 来进行登录校验。4. 有些接口 完全依赖 安全框架的权限校验逻辑,自己不做校验。Nacos的spring security的配置中,如果。
wmic的历史传奇(对Windows的管理),GitHub标星50k的网络安全全栈技术知识
m0_60607971的博客
04-08 558
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
nacos: core: preserved: heart: beat: interval: 1000不生效
05-31
如果在`application.yml`文件中添加了`nacos: core: preserved: heart: beat: interval: 1000`这行配置,但是没有生效,可能有以下几种原因: 1. 配置文件路径的问题 首先,需要确认`application.yml`文件的路径是否正确。在Spring Boot应用中,`application.yml`文件通常位于以下两个路径之一: - `src/main/resources/application.yml` - `src/main/resources/config/application.yml` 如果文件路径不正确,就无法读取到配置文件中的配置项。 2. 配置文件格式的问题 其次,需要确认`application.yml`文件的格式是否正确。在`application.yml`文件中,要注意以下几点: - 冒号后需要有一个空格。 - 缩进需要使用空格,而不是制表符。 - 如果一个配置项有多个层级,需要使用冒号加空格的方式表示。 例如,`nacos.core.preserved.heart.beat.interval`这个配置项,需要在`application.yml`中这样表示: ```yaml nacos: core: preserved: heart: beat: interval: 1000 ``` 3. 配置项名称的问题 最后,需要确认配置项名称是否正确。在Nacos配置中,有些配置项的名称可能会有所变化,需要根据实际情况进行调整。例如,`preserved.heart.beat.interval`这个配置项,在不同版本的Nacos中可能会有不同的名称,需要查看相应的文档或代码来确认。 如果以上三个方面都已经确认无误,但是配置项还是没有生效,可以尝试重启应用或者检查是否有其他地方覆盖了这个配置项。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

修己xj

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值