未授权访问合集
需要安全配置或权限认证的地址,授权页面存在漏洞,导致其他用户可以直接访问。
黑白时光les
网络安全小白,分享近期所学,感谢大家关注
展开
-
Kibana 未授权访问漏洞
Kibana是一个开源的分析与可视化平台,设计出来用于和Elasticsearch一起使用的。你可以用kibana搜索、查看存放在Elasticsearch中的数据。Kibana与Elasticsearch的交互方式是以各种不同的图表、表格、地图等直观地展示数据,从而达到高级的数据分析与可视化的目的。Elasticsearch、Logstash和Kibana这三个技术就是我们常说的ELK技术栈,可以说这三个技术的组合是大数据领域中一个很巧妙的设计。一种很典型的MVC思想,模型持久层,视图层和控制层。原创 2024-08-04 18:06:32 · 1 阅读 · 0 评论 -
Elasticsearch 未授权访问漏洞
ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企业级搜索引擎。Elasticsearch的增删改查操作全部由http接口完成。,攻击者可以拥有Elasticsearch的所有权限。可以对数据进行任意操作。业务系统将面临敏感数据泄露、数据丢失、数据遭到破坏甚至遭到攻击者的勒索。原创 2024-08-04 17:58:22 · 22 阅读 · 0 评论 -
Jupyter NoteBook未授权访问漏洞
Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40多种编程语言。如果管理员未为Jupyter Notebook配置密码,将导致未授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令,默认端口:8888。原创 2024-08-04 13:54:32 · 170 阅读 · 0 评论 -
Jenkins未授权访问漏洞
默认情况下 Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进入后台管理服务,通过脚本执行界面从而获取服务器权限。原创 2024-08-04 13:42:04 · 158 阅读 · 0 评论 -
Zookeeper未授权访问漏洞
Zookeeper是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。Zookeeper的默认开放端口是 2181。Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:ki命令)。攻击者能够执行所有只允许由管理员运行的命令。原创 2024-08-04 11:09:02 · 207 阅读 · 0 评论 -
Memcached未授权访问漏洞
Memcache能够提供临时数据存储服务,可以提高网站的整体性能,但由于memcache安全设计缺陷,默认开放的端口是11211,导致不需要密码就可以访问,攻击者可以直接连接服务器的11211端口获取数据库中的信息,导致信息泄露。原创 2024-08-04 10:54:54 · 72 阅读 · 0 评论 -
MongoDB未授权访问漏洞
mongodb数据库是由C++编写,主要是为了提供web应可用扩展的一种高性能数据库。开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库。原创 2024-08-04 01:33:29 · 113 阅读 · 0 评论 -
Redis未授权访问漏洞
靶场IP:192.168.30.138kali的IP:192.168.30。原创 2024-08-03 19:28:34 · 130 阅读 · 0 评论