InfluxDB API 未授权访问漏洞

最新推荐文章于 2024-06-12 13:28:50 发布
最新推荐文章于 2024-06-12 13:28:50 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44912035/article/details/112001372
版权

InfluxDB是一个使用Go语言编写的开源分布式,支持高并发的时序数据库,其使用JWT作为鉴权方式。在用户开启了认证,但未设置参数shared-secret的情况下,JWT的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在InfluxDB中执行SQL语句。

影响版本

InfluxDB < 1.7.6 的版本。

漏洞复现

标识:8086端口 HTTP API 的 X-Influxdb-Version 标志头
在这里插入图片描述

在这里插入图片描述
借助https://jwt.io/来生成jwt token
在这里插入图片描述
发送带有这个jwt token的数据包,可见SQL语句执行成功:
在这里插入图片描述

weixin_44912035
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
influxdb详解-从入门到精通
11-25
一、InfluxDB的安装和简介二、InfluxDB安装后web页面无法访问的解决方案三、InfluxDB在windows下的安装和配置四、InfluxDB的关键概念五、InfluxDB的基本操作六、InfluxDB的HTTP API写入操作七、InfluxDB数据保留策略...
InfluxDBStudio-0.2.1
03-01
InfluxDB Studio 0.2.1:高效管理InfluxDB数据库的利器》 InfluxDB是一款专为时间序列数据设计的高性能、开源数据库,广泛应用于监控、物联网、大数据分析等领域。为了方便用户对InfluxDB进行管理和操作,...
数据库安全:InfluxDB 授权访问-Jwt验证不当 漏洞.
网络安全领域___专研者.
11-11 1243
InfluxDB 是一个开源分布式时序,时间和指标数据库。其数据库是使用​​​​​​​Jwt 作为鉴权方式,在用户开启认证时,如果在设置参数shared-secret的情况下,Jwt 认证密钥为空字符串,这样攻击者就能伪造任意用户身份在 InfluxDB 数据库中执行SQL语句,因此会导致敏感信息泄露和执行威胁到数据库的数据命令.
influxdb授权访问漏洞
zzzzz1284的博客
03-13 594
influxdb授权访问漏洞
CVE-2019-20933-influxdb授权访问-vulhub
c0529的博客
06-12 445
InfluxDB 是一个开源分布式时序、时间和指标数据库,使用 Go 语言编写,无需外部依赖。其设计目标是实现分布式和水平伸缩扩展,是 InfluxData 的核心产品。其使用 jwt 作为鉴权方式。在用户开启了认证,但设置参数 shared-secret 的情况下,jwt 的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在 InfluxDB 中执行SQL语句。
InfluxDB 授权访问漏洞复现
weixin_52125240的博客
03-16 9763
InfluxDB 授权访问漏洞复现 前言:第一次复现漏洞,肯定会有很多不足的地方,这也是
腾讯 APIJSON 6.1.0+ 的 InfluxDB 数据库插件,可通过 Maven, Gradle 等远程依赖
03-09
APIJSON 可以限制请求的权限,而 InfluxDB 有自身的用户和角色管理机制,确保数据不被授权访问。 总结来说,APIJSON 6.1.0+ 的 InfluxDB 插件是针对 IoT/物联网领域的一个强大工具,它让开发者能够快速、安全地...
Windows 下的 influxdb 客户端 Windows连接influxdb客户端
11-17
`Newtonsoft.Json.dll`是著名的Json.NET库,用于处理JSON数据的序列化和反序列化,这对于与InfluxDB通信至关重要,因为InfluxDBAPI通常返回或接收JSON格式的数据。 `log4net.dll`是一个流行的日志记录框架,它...
influxDBStudio
08-05
2. 用户与权限管理:用户可以创建、编辑和删除InfluxDB用户,并设定相应的权限,实现安全的数据访问控制。 3. 表格视图与图表展示:InfluxDBStudio提供数据表格视图和各种图表展示,如折线图、柱状图、饼图等,便于...
go-ipfs-api:ipfs的HTTP API的go接口
05-13
go-ipfs-api ipfs的HTTP API的go接口 安装 go get -u github.com/ipfs/go-ipfs-api 这会将源代码下载到$GOPATH/src/github.com/ipfs/go-ipfs-api 。 用法 有关可用方法的详细信息,请参见 。 这应该与的规范匹配; 但是,仍有一些方法没有解决。 如果您要添加任何一个,请参见下面的贡献部分。 另请参阅 。 例子 添加一个内容为“ hello world!”的文件: package main import ( "fmt" "strings" "os" shell "github.com/ipfs/go-ipfs-api" ) func main () { // Where your local node is running on localhost:5001 sh
influxdb 授权访问
qq_53086690的博客
11-22 1105
influxdb 授权访问 influxdb简介 InfluxDB是一个由InfluxData开发的开源时序型数据。它由Go写成,着力于高性能地查询与存储时序型数据。InfluxDB被广泛应用于存储系统的监控数据,IoT行业的实时数据等场景。 影响版本 InfluxDB < 1.7.6 漏洞简介 influxdb是一个数据库,使用jwt认证方式。在用户开启了认证,但设置参数shared-secret的情况下,jwt的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在influxdb中执行SQL语
服务攻防-数据库安全-Influxdb&H2database&CouchDB&ElasticSearch数据库漏洞复现
ran的博客
05-07 2389
默认端口:InfluxDB 是一个开源的时间序列数据库,旨在处理大规模数据处理和分析的高写入和查询负载。它针对实时存储和查询大量时间戳数据进行了优化。InfluxDB 提供了一种类似 SQL 的查询语言称为 InfluxQL,允许用户从数据库中检索和操作数据。它还支持各种客户端库和插件,以与其他数据源和工具集成。InfluxDB 的一些主要特点包括:高写入和查询性能:InfluxDB 优化了高吞吐量数据摄取和检索,非常适合实时数据处理和分析。
Influxdb授权访问&CouchDB权限绕过
weixin_54882883的博客
07-21 461
当我们发送数据包,可以看见一个OK的时候啊。对应版本最好不要高于1.7.0。默认端口80868088。还要另外一个是需要抓数据包的。然后在数据中添加一个部分。数据包中需要添加两个东西。FOFA可以怎么去试试。你就可以尝试去登录一下。这时候就可以查数据了。就可能用户添加成功了。...
数据库漏洞-Influxdb+H2database 复现
xiaoheizi的博客
07-10 740
命令:java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C touch /tmp/success -A "服务器ip"抓取/query页面的数据包,将Get请求更改为Post请求,在请求中添加令牌,并且添加 POST 请求键值对:db=sample&q=show users。下载漏洞利用工具:https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0。
漏洞复现Influxdb,H2database,couchDB,ElasticSearch
m0_63917373的博客
11-30 1496
漏洞复现Influxdb,H2database,couchDB,ElasticSearch vulhub vulfocus
(五)解决InfluxDB 授权访问
weixin_48226988的博客
12-31 5952
InfluxDB是一个由InfluxData开发的开源时序型数据库。它由Go写成,着力于高性能地查询与存储时序型数据。InfluxDB被广泛应用于存储系统的监控数据,IoT行业的实时数据等场景。 默认情况下InfluxDB没有开启认证措施,攻击者可以通过授权访问,构造相应的API请求,直接操作InfluxDB中的数据,可能导致敏感数据丢失或者泄漏。 开启InfluxDB 授权访问访问还是很简单的,操作步骤如下。 1、没有设置auth时,直接就显示了数据库内容 ~:influx > show data
记一次InfluxDB故障
热门推荐
柳清风的专栏
08-02 1万+
在一个测试环境中,InfluxDB已经运行了一年多,今天突然发现不能保存监控数据了。我们先回顾一下InfluxDB如何配置的。 生成配置文件, influxd config &amp;amp;amp;gt; /etc/influxdb/influxdb.generated.conf 启动服务指定 influxd -config influxdb.generated.conf 也可用通过环境变量指定 e...
influxdb Java api建桶
最新发布
06-18
InfluxDB Java API 是一个用于与 InfluxDB 交互的客户端库,它提供了一种方便的方式来创建、管理桶(buckets)以及其他数据相关的操作。在Java中使用InfluxDB API建立桶的步骤如下: 1. 首先,你需要在你的项目中添加InfluxDB的Java客户端依赖。如果你使用Maven,可以在pom.xml文件中添加: ```xml <dependency> <groupId>com.influxdata</groupId> <artifactId>influxdb-java</artifactId> <version>2.x.y</version> <!-- 使用最新版本 --> </dependency> ``` 替换 `x.y` 为实际的版本号。 2. 创建连接:使用InfluxDBClientBuilder构建连接对象,并指定InfluxDB的URL、端口和可能的认证信息(如果有): ```java InfluxDBClient influxDBClient = InfluxDBClientFactory.create( new InetSocketAddress("your_influxdb_host", your_influxdb_port), new InfluxDBCredentials("your_username", "your_password") ); ``` 3. 创建或获取bucket:使用`BucketService`,你可以创建一个新桶: ```java BucketCreateRequest bucketRequest = BucketCreateRequest .builder() .name("your_bucket_name") // 指定桶名 .org("your_organization_id") // 如果你使用的是组织级别的权限,需要指定组织ID .build(); Bucket createdBucket = influxDBClient.getBucketService().create(bucketRequest); ``` 如果你想检查或修改已存在的桶,可以使用`getBucketService().getBucket(bucketName)`或`getBucketService().updateBucket(bucketName, updatedBucketRequest)`方法。 4. 关闭连接:在完成操作后,记得关闭连接: ```java influxDBClient.close(); ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值