![](https://i-blog.csdnimg.cn/direct/78fd0c79639840ffaa554b57ed4d49ba.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
未授权访问漏洞
未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。
starhei.zxy
这个作者很懒,什么都没留下…
展开
-
Jupyter NoteBook未授权访问漏洞 *
Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。如果管理员未为Jupyter Notebook配置密码,将导致未授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令,默认端口:8888。原创 2024-08-04 20:52:24 · 139 阅读 · 0 评论 -
Jenkins未授权访问漏洞 *
步骤一:使用以下fofa语法进行产品搜索....步骤二:在打开的URL中...点击。在执行以下命令...原创 2024-08-04 20:45:31 · 83 阅读 · 0 评论 -
Zookeeper未授权访问漏洞
Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令)。攻击者能够执行所有只允许由管理员运行的命令。Zookeeper是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。步骤三:可使用Zookeeper可视化管理工具进行连接....步骤二:在Kali中使用以下命令进行未授权访问漏洞测试..步骤一:使用以下Fofa语法搜索资产信息....原创 2024-08-04 20:35:28 · 167 阅读 · 0 评论 -
Memcached未授权访问漏洞
Memcached 是一套常用的 key-value 分布式高速缓存系统,由于 Memcached 的安全设计缺陷没有权限控制模块,所以对公网开放的Memcache服务很容易被攻击者扫描发现,攻击者无需认证通过命令交互可直接读取 Memcached中的敏感信息。步骤一:下载Memcached程序并执行以下命令..启动Memcached漏洞环境。步骤二:使用Telnet程序探测目标的11211端口...步骤三:使用Nmap程序的脚本进行漏洞扫描....步骤四:漏洞探测脚本(参考)原创 2024-08-04 20:28:00 · 204 阅读 · 0 评论 -
MongoDB未授权访问漏洞
造成未授权访问的根本原因就在于启动 Mongodb 的时候未设置 --auth 也很少会有人会给数据库添加上账号密码(默认空口令),使用默认空口令这将导致恶意攻击者无需进行账号认证就可以登陆到数据服务器。开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库。步骤二:使用Nmap的插件脚本进行扫描...发现存在未授权访问漏洞...步骤四:即存在未授权访问漏洞使用Navicat进行连接...原创 2024-08-04 20:02:04 · 213 阅读 · 0 评论 -
Redis未授权访问漏洞 *
步骤三:可以直接连接执行命令且不需要认证说明存在未授权访问漏洞....下载以下攻击项目....步骤四:使用工具执行以下命令获取目标的命令执行环境,交互时输入i键会获取Shell环境。原创 2024-08-04 19:46:55 · 45 阅读 · 0 评论