Dubbo未授权访问漏洞

于 2024-08-05 16:12:45 发布
阅读量55 收藏
点赞数 1
分类专栏: 未授权访问漏洞 文章标签: dubbo Dubbo未授权访问漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63988455/article/details/140929502
版权

Dubbo是阿里巴巴公司开源的一个高性能优秀的 服务框架,使得应用可通过高性能的 RPC 实现服务的输 出和输入功能,可以和 Spring框架无缝集成。dubbo 因配置不当导致未授权访问漏洞。

》》》漏洞复现《《《

步骤一:使用以下语句在Fofa上进行资产收集....

(app="APACHE-dubbo") && (is_honeypot=false && is_fraud=false)

步骤二:使用Telnet程序直接进行链接测试....

》》》防御手段《《《

1. 配置dubbo认证。
2. 设置防火墙策略;
如果正常业务中dubbo 服务需要被其他服务器来访问,可以通过 iptables 策略,仅允许指定的 IP 来访问服务。
starhei.zxy
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nacos2.2.2增加鉴权配置,防止NACOS身份登陆绕过漏洞
06-04
gRPC & Dubbo RPC Service Spring Cloud RESTful Service Nacos 的关键特性包括: 服务发现和服务健康监测 Nacos 支持基于 DNS 和基于 RPC 的服务发现。服务提供者使用 原生SDK、OpenAPI、或一个独立的Agent TODO...
Middleware-Vulnerability-detection:CVE、CMS、中间件漏洞检测利用合集 Since 2019-9-15
04-07
--2019 Apache-flink 授权访问任意 --2019 CVE-2019-0193 Apache Solr via Velocity template RCE --2020.3 CVE-2019-17564 Apache Dubbo反序列化漏洞 --2020.7 CVE-2020-13925 Apache Kylin 远程命令执行漏洞 --...
Dubbo 授权访问
maverickpig的博客
01-27 4556
Dubbo是阿里巴巴公司开源的一个高性能优秀的 服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring框架无缝集成。dubbo 因配置不当导致授权访问漏洞
授权访问漏洞总结
热门推荐
hackerie的博客
12-28 1万+
目前主要存在授权访问漏洞的有:NFS服务,Samba服务,LDAP,Rsync,FTP,GitLab,Jenkins,MongoDB,Redis,ZooKeeper, ElasticSearch,Memcache,CouchDB,Docker,Solr,Hadoop,Dubbo等, 本文主要介绍一些目前比较常用的一些服务的授权访问,欢迎大家补充! 参考:https://www.secpu
生产dubbo漏洞问题修复
weixin_44939862的博客
02-01 1438
dubbo漏洞修复
生命在于学习——授权访问漏洞
易水哲的博客
09-01 1万+
授权访问漏洞的学习。
Aapche Dubbo Java反序列化漏洞复现
Shanfenglan's blog
12-13 1655
文章目录1. CVE-2019-17564原理利用 1. CVE-2019-17564 原理 Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。Dubbo可以使用不同协议通信,当使用http协议时,Apache Dubbo直接使用了Spring框架的org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter类做远程调用,而这个过程会读取POST请求的Body并进行反序列化,最终导致漏洞。 影响版本:Apac
授权访问漏洞大全
yggcwhat
08-23 1万+
授权访问漏洞大全
漏洞预警】Apache Dubbo反序列化漏洞及修复方案
讯开技术孵化器博客
07-01 2650
漏洞描述 Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一个反序列化远程代码执行漏洞(CVE-2020-1948),官方发布2.7.7版本修复漏洞,但近日该漏洞补丁被绕过,经阿里云工程师测试绕过有效,且目前官方还发布新版本,漏洞属0day级,风险极大。阿里云应急响应中心提醒Apache Dubbo用户尽快采取安全措施阻止漏洞攻击。 2020年6月29日,阿里云应急响应中心监测到Apache Du
授权访问漏洞1
MingShenfree的博客
10-30 725
授权访问漏洞产生的原因 授权访问漏洞是站由于网站管理员对站点的资源所拥有的权限或站点配置文件没有进行合理的配置,导致没有进行授权的用户可以访问到高级资源。 常见的授权访问漏洞 (1)Redis授权访问漏洞简述:Redis是一种缓存数据库应用,它在部分场合可以对关系型数据库起到很好的补充作用。Redis默认会绑定在0.0.0.0:6379,这就会将Redis服务暴露到公网环境当中,在没有开启认证的情况下会导致任意可以访问到...
常用的端口及授权访问漏洞
小城的博客
02-15 6417
​ 一、介绍 用于快速定位端口,查找开放端口脆弱点,有利于外网渗透 1.1 具体端口 端口号 使用 弱点 21 telnet 22 SSH 28退格漏洞、OpenSSL漏洞 25 SMTP协议 53 DNS服务 67&68 DHCP服务 143 IMAP协议 161 SNMP协议 DHCP劫持 1443 mssql 1521 oracle 2049 NFS服务 2181 Zookeeper ### Zookeeper授权
apache漏洞汇总apache漏洞汇总
03-29
Apache-flink 授权访问任意jar包上传反弹shell CVE-2019-0193 Apache-Solr via Velocity template RCE CVE-2019-17564 Apache-Dubbo反序列化漏洞 CVE-2020-13925 Apache Kylin 远程命令执行漏洞 CVE-2020-13957 ...
CTF之信息泄漏.pdf
02-11
#### 五、授权访问漏洞 **漏洞成因**:许多服务在默认安装时并启用身份验证机制。如果服务暴露在互联网上,且进行适当的身份验证配置,那么任何人都可以访问这些服务并执行恶意操作。 **常见授权访问的服务...
springsecurity源码(鉴权有缺陷)
05-20
- **处理的异常**:在处理认证和授权过程中,捕获或处理的异常可能暴露敏感信息,为攻击者提供信息。 - **不当的角色和权限分配**:如果用户角色或权限设置错误,可能导致权限过大,允许不应有的操作。 4. **...
基于卷积神经网络的语音识别声学模型的研究
08-04
【项目资源】:包含前端、后端、移动开发、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源,毕业设计等各种技术项目的源码。包括C++、Java、python、web、C#、EDA等项目的源码。 【适用人群】:适用于希望学习不同技术领域的初学者或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【附加价值】:项目具有较高的学习借鉴价值,也可直接拿来修改复刻。对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。 【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
VCD租借管理系统VB(源程序+论文).rar
08-04
VCD租借管理系统VB(源程序+论文)
嗖嗖移动大厅(Java)
08-04
嗖嗖移动大厅源码
android-studio-2022.3.1.22-windows.zip.001
最新发布
08-04
android-studio-2022.3.1.22-windows.zip.001 参考文档: https://blog.csdn.net/xzzteach/article/details/140911515 android-studio-2022.3.1.22-windows.zip.001 https://download.csdn.net/download/xzzteach/89614079 android-studio-2022.3.1.22-windows.zip.002 https://download.csdn.net/download/xzzteach/89614082 https://blog.csdn.net/xzzteach/article/details/140913786 【Android Studio】2022.3.1.22-windows版本(不要太新拒绝过老)安装使用一条龙教程(JDK1.8.0_201、API28(9)、gradle-6.5-all)
dubbo monitor访问地址
04-13
Dubbo Monitor是Dubbo框架提供的一个可视化监控工具,用于监控和管理Dubbo服务的运行状态。通过Dubbo Monitor,可以实时查看服务的调用情况、性能指标、错误日志等信息。 Dubbo Monitor的访问地址通常是通过配置文件进行配置的,默认情况下是http://localhost:8080。但是具体的访问地址可能会因为部署环境的不同而有所变化,所以建议您查看您所使用的Dubbo Monitor的配置文件或者相关文档,以获取准确的访问地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值