Nacos提权漏洞修复

最新推荐文章于 2024-06-14 09:13:13 发布
最新推荐文章于 2024-06-14 09:13:13 发布
阅读量368 收藏 8
点赞数 5
文章标签: 网络 安全 web安全 linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzz6583zz/article/details/138946094
版权

[漏洞详情]

Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。若您Nacos未修改
secret.key,则攻击者可利用默认secret.key生成JWT Token,从而造成权限绕过访问到相关API接口。

Nacos 官方于 2023年3月2日发布 2.2.0.1
版本。该版本移除了默认鉴权插件中依赖的nacos.core.auth.plugin.nacos.token.secret.key默认值,在部署新版本时必须要输入自定义的有效token.secret.key
用于登陆后的accessToken生成。

修复建议

  1. 根据官方文档修改secret.key 为随机值,并注意保密。
  2. 升级至最新版本

修复过程

Nacos版本 2.2.0

修改Nacos配置文件

在这里插入图片描述

  1. secret.key 使用随机密码生成的Base64
  2. 开启鉴权:nacos.core.auth.enabled = true
修改项目配置

在这里插入图片描述

spring:
  cloud:
    nacos:
      discovery:
        password: nacos
        username: nacos
        server-addr: 127.0.0.1:8848
      config:
        password: nacos
        username: nacos
        server-addr: 127.0.0.1:8848

注册中心和配置中心用户名密码添加

启动服务

java.lang.IllegalStateException: failed to req API:/nacos/v1/ns/instance after all servers([localhost:8848]) tried: failed to req API:localhost:8848/nacos/v1/ns/instance. code:403 msg: <html><body><h1>Whitelabel Error Page</h1><p>This application has no explicit mapping for /error, so you are seeing this as a fallback.</p><div id='created'>Tue Nov 08 15:00:14 CST 2022</div><div>There was an unexpected error (type=Forbidden, status=403).</div></body></html>
	at com.alibaba.nacos.client.naming.net.NamingProxy.reqAPI(NamingProxy.java:464)
	at com.alibaba.nacos.client.naming.net.NamingProxy.reqAPI(NamingProxy.java:386)
	at com.alibaba.nacos.client.naming.net.NamingProxy.deregisterService(NamingProxy.java:205)
	at com.alibaba.nacos.client.naming.NacosNamingService.deregisterInstance(NacosNamingService.java:244)



如果发现报403错误,是Nacos版本问题

在这里插入图片描述
过滤nacoa自带的client,引入新版本。

版本更新后就可以正常启动。

踩坑:

开启鉴权后,在Nacos管理端修改Nacos密码,点击提交会提示权限校验失败,但此时密码其实已经更改了。这块要注意。

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

在这里插入图片描述

如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

程序员鱼
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91个..实时更新中...)
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
08-21 2519
2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总,截止目前已更新到91个漏洞,本文会实时更新,有新的漏洞都会加上
spring 微服务nacos未授访问漏洞修复
whandgdh的博客
06-17 7136
spring 微服务nacos未授访问漏洞修复
解决“nacos默认secret.key配置不当限绕过漏洞
一只没有脚的鸟
01-10 2970
nacos 2.x及以下版本会有一个nacos默认secret.key配置不当限绕过漏洞,等级为高危。形成原因是nacos的配置文件中存在这么一个secret.key会被他人利用进行从而达到系统受控的目的。对于这个漏洞大家需要第一时间进行排查,如果有相似情况,可根据本文进行修复
Nacos漏洞总结复现
dzqxwzoe的博客
03-01 1839
Nacos中发现影响Nacos
CVE-2022-31692 Spring Security Oauth2 Client漏洞
LJQClqjc的博客
11-03 1490
棱镜七彩漏洞深度分析
【安全漏洞】CVE-2021-41773和CVE-2021-42013漏洞分析
HBohan的博客
10-16 2048
CVE-2021-41773 漏洞成因 Apache HTTP Server 2.4.49版本使用的ap_normalize_path函数在对路径参数进行规范化时会先进行url解码,然后判断是否存在…/的路径穿越符,如下所示: while (path[l] != '\0') { if ((flags & AP_NORMALIZE_DECODE_UNRESERVED) && path[l] == '%' && apr_isxdigit(p
2023 HW 必修高危漏洞集合
holyxp的博客
07-21 3125
高危风险漏洞一直是企业网络安全防护的薄弱点,也成为 HW 攻防演练期间红队的重要突破口;每年 HW 期间爆发了大量的高危风险漏洞成为红队突破网络边界防护的一把利器,很多企业因为这些高危漏洞而导致整个防御体系被突破、甚至靶标失守而遗憾出局。HW 攻防演练在即,输出HW 必修高危漏洞手册,意在帮助企业在 HW 攻防演练的前期进行自我风险排查,降低因高危漏洞而“城池失守”的风险。
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
weixin_72543266的博客
04-22 1112
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
漏洞&修复规范描述
数据安全学习分享
08-07 955
严重不安全系统高危不安全系统中危不安全系统低危不安全系统安全系统严重漏洞高危漏洞中危漏洞低危漏洞认证应用主机APP代码web 后台系统弱口令详情由于网站用户帐号存在弱口令,导致攻击者通过弱口令可轻松登录到网站中,从而进行下一步的攻击,例如上传 webshell,获取敏感数据,另外攻击者利用弱口令登录网站管理后台,可执行任意管理员的操作。造成的危害攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。修复建议用户层面系统层面ft
Nacos2.2.2增加鉴配置,防止NACOS身份登陆绕过漏洞
06-04
Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。 Nacos 致力于帮助您发现、配置和管理微服务。Nacos 供了一组...
nacos2.2.1达梦数据库版
06-08
支持达梦数据库配置持久化带数据库初始化sql脚本,原nacos版本只支持mysql与derby数据库配置持久化,不支持达梦数据库配置持久化。在原有的开源nacos上进行了源码更改,解决了网上教程的一些坑,测试持久化成功后...
nacos 2.2.3版本
06-29
升级nacos 2.2.3 修复之前版本漏洞
服务器利器
11-06
利器合集 巴西烤肉等等著名免杀 巴西烤肉等等著名免杀
Nacosnacos-2.2.3)
06-01
文件内容: nacos-server-2.2.3.tar.gz nacos-server-2.2.3.zip nacos-2.2.3.tar.gz nacos-2.2.3.zip
面向云计算平台的信息安全等级保护测评实践与建议
最新发布
ddcajdkdl的博客
06-14 607
面向云计算平台的信息安全等级保护测评是一项系统工程,需要政府、云服务商、用户及第三方测评机构等多方共同努力,通过持续的技术创新与管理优化,确保云计算环境下的信息安全,为数字经济发展供坚实的安全保障。
Linux网络编程(二)Socket编程
Oafz的博客
06-12 273
【代码】Linux网络编程(二)Socket编程。
Android WebSocket长连接的实现
Billy_Zuo的博客
06-12 1439
WebSocket 协议在2008年诞生,2011年成为国际标准。所有浏览器都已经支持了。它的最大特点就是,服务器可以主动向客户端推送信息,客户端也可以主动向服务器发送信息,是真正的双向平等对话,属于[“服务器推送技术”]的一种。WebSocket的特点包括:建立在 TCP 协议之上,服务器端的实现比较容易。与 HTTP 协议有着良好的兼容性。默认端口也是80和443,并且握手阶段采用 HTTP 协议,因此握手时不容易屏蔽,能通过各种 HTTP 代理服务器。支持双向通信,实时性更强。
nacos未授访问漏洞 修复
07-15
对于Nacos的未授访问漏洞,建议你采取以下措施进行修复: 1. 更新到最新版本:确保你使用的Nacos版本是最新的,因为最新版本通常包含了安全修复漏洞修复。 2. 配置访问控制:通过配置适当的访问控制策略,限制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值