kkfileview阿里云安全扫描:威胁类型敏感信息回显 (Sensitive Information Response)

这篇具有很好参考价值的文章主要介绍了kkfileview阿里云安全扫描:威胁类型敏感信息回显 (Sensitive Information Response)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

在阿里云部署的kkfileview,阿里云安全性扫描有漏洞
网络流量内容GET /getCorsFile?urlPath=file:///etc/passwd HTTP/1.1

Host: XXX.XXX.XXXX.XXX:80XX
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.6.2333.33 Safari/537.36 AliyunTaiShiGanZhi https://www.aliyun.com/product/sas
Accept-Encoding: gzip, deflate
Accept: /
Connection: keep-alive
Accept-Language: zh-CN,zh;q=0.8

网络流量内容HTTP/1.1 200 OK
Date: Wed, 29 Mar 2023 19:45:23 GMT
Content-Length: 1044

root❌0:0:root:/root:/bin/bash bin❌1:1:bin:/bin:/sbin/nologin daemon❌2:2:daemon:/sbin:/sbin/nologin adm❌3:4:adm:/var/adm:/sbin/nologin lp❌4:7:lp:/var/spool/lpd:/sbin/nologin sync❌5:0:sync:/sbin:/bin/sync shutdown❌6:0:shutdown:/sbin:/sbin/shutdown halt❌7:0:halt:/sbin:/sbin/halt mail❌8:12:mail:/var/spool/mail:/sbin/nologin operator❌11:0:operator:/root:/sbin/nologin games❌12💯games:/usr/games:/sbin/nologin ftp❌14:50:FTP User:/var/ftp:/sbin/nologin nobody❌99:99:Nobody:/:/sbin/nologin systemd-network❌192:192:systemd Network Management:/:/sbin/nologin dbus❌81:81:System message bus:/:/sbin/nologin polkitd❌999:998:User for polkitd:/:/sbin/nologin sshd❌74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin postfix❌89:89::/var/spool/postfix:/sbin/nologin

原因:
该风险是因为v4.0.0 getCorsFile 接口可以访问任一系统文件,例如 getCorsFile?urlPath=file:///etc/passwd ,例如

kkfileview阿里云安全扫描:威胁类型敏感信息回显 (Sensitive Information Response)
解决方法:
因为我们走nginx域名解析,所以可以在nginx直接禁止此接口
已通过nginx 禁止此接口

 location ^~/getCorsFile {
        return 403;
        }

如果直接访问不走nginx的话,可以删除此接口文章来源地址https://www.toymoban.com/news/detail-419186.html

到了这里,关于kkfileview阿里云安全扫描:威胁类型敏感信息回显 (Sensitive Information Response)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 分别使用御剑工具和dirsearch工具(需要在kali下进行安装)对http://159.75.16.25进行扫描, 扫描出敏感文件,敏感文件内有flag值

    ① 御剑工具: Ⅰ.使用Windows下的御剑工具,在域名中输入目标站点URL,点击开始扫描: Ⅱ.可得到HTTP相应为200,说明每个页面都可以访问,在网页中打开这两个文件分别为:   Ⅲ.扫描得到其中有一个敏感文件,flag值为 hack fun 。 ② dirsearch 工具 Ⅰ.将Linux去ping www.baidu.com 

    2023年04月19日
    浏览(35)
  • 阿里云国际站代理商:阿里云安全规则

    简介: 飞机@luotuoemo 本文由(阿里云国际站代理商:【聚搜云】www.4526.cn )撰写 目录 阿里云国际站代理商:阿里云安全规则 阿里云国际站代理商:阿里云安全规则 阿里云优势 阿里云安全规则 1. 强密码策略 2. 访问控制 3. 数据加密 4. 防火墙设置 5. 安全审计 总结 阿里云国际

    2024年01月16日
    浏览(49)
  • 阿里云安全组设置

    云主机安全组必须打开如下端口: ssh:22 http:80 https:443 ftp:21、20000~30000

    2024年02月14日
    浏览(42)
  • 阿里云安全恶意程序检测

    赛题说明 本题目提供的数据来自经过沙箱程序模拟运行后的API指令序列,全为Windows二进制可执行程序,经过脱敏处理:样本数据均来自互联网,其中恶意文件的类型有感染型病毒、木马程序、挖矿程序、DDoS 木马、勒索病毒等,数据总计6亿条。 注:什么是沙箱程序? 在计算

    2024年02月05日
    浏览(38)
  • 数据守护盾牌:敏感数据扫描与脱敏,让安全合规无忧,程序员经验分享

    我们还提供了官网内置的规则库(如上图),如信用卡号、个人信息、密钥等。您可以选择所需扫描的敏感数据类型,并支持多选后一键创建定义匹配规则;进入到创建页面后,您还可以进一步灵活编辑规则。 敏感数据扫描规则创建完成后,您还可以在列表处实现统一查询和

    2024年04月25日
    浏览(31)
  • 使用WAF防御网络上的隐蔽威胁之扫描器

    在网络安全领域,扫描器是用于侦察和识别网络系统漏洞的工具。 它们可以帮助网络管理员识别安全漏洞,也可能被攻击者用来寻找攻击目标。 扫描器的基本概念 定义:扫描器是一种自动化工具,用于探测网络和服务器中的漏洞、开放端口、运行的服务等信息。 类型: 端

    2024年03月08日
    浏览(45)
  • 阿里云天池大赛赛题(机器学习)——阿里云安全恶意程序检测(完整代码)

    阿里云作为国内最大的云服务提供商,每天都面临着网络上海量的恶意攻击。 本题目提供的一堆恶意文件数据,包括感染性病毒、木马程序、挖矿程序、DDoS木马、勒索病毒等等,总计6亿条数据,每个文件数据会有对API调用顺序及线程等相关信息,我们需要训练模型,将测试

    2024年02月07日
    浏览(81)
  • 阿里云安全ACP认证考试实验之云盾之云安全中心与态势感知入门体验

    “更多玩转云产品” 1、实验概述 通过本实验可对云安全中心,态势感知的一些基本操作有深入了解以及如何来对实例进行安全监控 2、实验目标 完成此实验可以掌握的能力有: 在安骑士中添加白名单、登录安全设置 通过态势感知查看实例的相关告警威胁 3、学前建议: 了

    2024年02月02日
    浏览(39)
  • 阿里云安全产品云防火墙是什么?有什么作用?

    阿里云云防火墙(Cloud Firewall)是一款公共云环境下的SaaS化防火墙,可统一管理南北向和东西向的流量,提供流量监控、精准访问控制、实时入侵防御等功能,全面保护您的网络边界。可提供统一的互联网边界、内网VPC边界、主机边界流量管控与安全防护,包括结合情报的实

    2024年02月16日
    浏览(35)
  • 探索阿里云安全匹配服务:智能、高效且可靠的解决方案

    项目地址:https://gitcode.com/mindawei/aliyun-safe-match 在这个数字化的时代,数据安全和隐私保护是每个企业和个人都关注的核心问题。阿里云安全匹配服务(Safe Match)是一个旨在解决这一挑战的技术项目,它提供了一种高效且安全的方式来比较和验证敏感信息,而无需暴露原始数据

    2024年04月25日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包