RabbitMQ 未授权访问漏洞

最新推荐文章于 2024-08-05 11:01:12 发布
最新推荐文章于 2024-08-05 11:01:12 发布
阅读量74 收藏 3
点赞数 2
分类专栏: 未授权访问合集 文章标签: rabbitmq 分布式 未授权访问漏洞 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53736204/article/details/140921506
版权

RabbitMQ 未授权访问漏洞

RabbitMQ是目前非常热门的一款消息中间件,基于AMQP协议的,可以在发布者和使用者之间交换异步消息。消息可以是人类可读的JSON,简单字符串或可以转换为JSON字符串的值列表。

漏洞复现

步骤一:使用以下Fofa语法对RabbitMQ产品进行搜索

port="15672"
port="15692"
port="25672"

步骤二:在打开的页面中可输入默认的账号和密码进行登陆

默认账号密码都是guest
http://IP:15672
http://IP:15692
http://IP:25672

image-20240805095719151

漏洞修复

  1. 修改为强密码,删除默认的账号guest。
  2. 禁止对外网开放,仅限于内部访问。
黑白时光les
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
二十八种授权访问漏洞合集(暂时最全)
墨痕诉清风的博客
01-04 4676
目录 0x01 授权漏洞预览 0x02 Active MQ 授权访问 0x03 Atlassian Crowd 授权访问 0x04 CouchDB 授权访问 0x05 Docker 授权访问 0x06 Dubbo 授权访问 0x07 Druid 授权访问 0x08 Elasticsearch 授权访问 0x09 FTP 授权访问 0x10 HadoopYARN 授权访问 0x11 JBoss 授权访问 0x12 Jenkins 授权访问 0x13 Jupyt
Celery 4.0 Redis授权访问+Pickle反序列化利用(celery3_redis_unauth)POC
09-29
Celery 4.0 Redis授权访问+Pickle反...Celery 版本默认使用Pickle进行任务消息的序列化传递,当所用队列服务(比如Redis、RabbitMQ、RocketMQ等等等)存在授权访问问题时,可利用Pickle反序列化漏洞执行任意代码。
RabbitMQ授权访问漏洞
最新发布
qq_68186313的博客
08-05 48
RabbitMQ是目前非常热门的一款消息中间件,基于AMQP协议的,可以在发布者和使用者之间交换异步消息。消息可以是人类可读的JSON,简单字符串或可以转换为JSON字符串的值列表。2、在打开的页面中可输入默认的账号和密码进行登陆(默认账号密码都是guest)1、使用以下Fofa语法对RabbitMQ产品进行搜索。RabbitMQ授权访问漏洞
Web漏洞-授权访问漏洞
Ays.Ie的博客
03-21 3680
该篇记录了web漏洞-授权访问漏洞的相关知识
生命在于学习——授权访问漏洞
易水哲的博客
09-01 1万+
授权访问漏洞的学习。
授权访问漏洞总结
m0_64481831的博客
06-18 1094
以下总结了常见的授权访问漏洞,还在持续更新中,遇到就会补充。欢迎大家关注~
授权访问漏洞大全
热门推荐
yggcwhat
08-23 1万+
授权访问漏洞大全
授权访问漏洞
C233333235的博客
08-04 641
Redis 默认情况下,会绑定在,如果没有进⾏采⽤相关的策略,⽐如添加防 ⽕墙规则避免其他⾮信任来源 ip 访问等,这样将会将 Redis 服务暴露到公⽹上,如果在没有设 置密码认证(⼀般为空)的情况下,会导致任意⽤户在可以访问⽬标服务器的情况下授权Redis 以及读取 Redis 的数据。攻击者在授权访问 Redis 的情况下,利⽤ Redis ⾃身的提供的config 命令,可以进⾏写⽂件操作,攻击者可以成功将⾃⼰的ssh公钥写⼊⽬标服务器的/root/.ssh ⽂件夹的。
二十几种授权访问漏洞合集
2301_76786857的博客
01-13 1464
授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。攻击者发现并且利用此类漏洞的成本低,效果明显,影响巨大,因此此类漏洞必须高度重视起来。目前主要存在授权访问漏洞的有:NFS服务,Samba服务,LDAP,Rsync,FTP,Jenkins,MongoDB,Redis,ZooKeeper,ElasticSearch,Memcache,CouchDB,Docker,Solr,Hadoop,Dubbo等。
授权访问漏洞合集
weixin_57682301的博客
08-03 205
今天我们来开一个新的坑,授权访问漏洞,以后我会慢慢更新,大家可以持续跟进一下,谢谢大家!
食堂订餐系统
08-06
为了保障用户的个人信息安全,食堂订餐系统应遵循严格的安全标准,如使用HTTPS加密传输数据,对敏感信息进行哈希加密存储,以及实施访问控制策略,防止授权访问。此外,系统可能还需要定期进行安全审计和漏洞修复...
自动化审计系统建设下1
08-03
- 数据库设计包括权限相关,确保只有授权的用户或系统可以访问和操作审计数据。这涉及到对MySQL的熟悉,包括表结构设计、索引优化和权限管理。 4. **CI/CD集成**: - 理解持续集成/持续部署(CI/CD)的基本流程,如...
企业IT数字化转型:SOA治理管控平台与OpenAPI能力开放平台建设方案.pptx
04-29
通过认证授权机制,保护API不受授权访问的影响。 4. **流量控制**:通过流量控制功能,防止API被恶意攻击或滥用,保障API的稳定运行。 5. **支持多种开发者工具和语言**:降低开发难度和成本,吸引更多开发者参与...
RabbitMQ高级特性 - 消费者消息确认机制
CYK_byte的博客
08-04 774
为了保证消息从 队列 到 消费者正确消费,那么就引入了消费者消息确认机制.a)消费者在订阅队列时,可以指定 autoAck 参数,根据这个参数设置,消息确认机制分为以下两种(以下讲到的方法和参数来自于 RabbitMQ 原生的 SDK,非 Spring 提供).自动确认:当 autoAck = true 时,RabbitMQ 会自动把发送出去的消息置为确认,然后不管消费者是否真正的消费这些消息,都会从内存中删除.(适合对消息可靠性要求不高的场景).
03 RabbitMQ:HelloWorld
Eyesmoon的博客
08-04 674
03 RabbitMQ:HelloWorld
02 RabbitMQ:下载&安装
Eyesmoon的博客
07-30 588
02 RabbitMQ:下载&安装
04 RabbitMQ:控制界面详解
Eyesmoon的博客
08-04 376
04 RabbitMQ:控制界面详解
rabbitmq 开源授权
09-21
rabbitmq是一个开源的消息队列软件。关于rabbitmq授权,具体来说,rabbitmq采用了一种基于角色的访问控制机制。每个用户都被分配了一个或多个角色,而每个角色都有不同的权限。这些权限包括管理虚拟主机、创建和删除队列、交换机和绑定等。可以通过rabbitmqctl命令来管理用户权限,比如使用rabbitmqctl list_user_permissions {username}命令来查看用户的权限,使用rabbitmqctl change_password {username} {newpassword}命令来修改用户的密码。此外,还可以使用chown命令来修改rabbitmq的配置文件.erlang.cookie的所属用户和组。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值