Nacos未授权访问漏洞复现和分析

访客4年前关于黑客接单935

简介

Nacos是一套帮助您发现、配置和管理微服务的程序。提供一组简单易用的特性集,能够快速的实现动态服务发现、服务配置、服务元数据以及流量管理。

在Nacos 2.0版本存在未授权访问漏洞,程序未有效对于用户权限进行判断,导致能够添加任意用户、修改任意用户密码等等问题。

搭建环境

通过官方github咱们找到相关下载链接:

https://github.com/alibaba/nacos/releases/download/2.0.0-ALPHA.1/nacos-server-2.0.0-ALPHA.1.tar.gz

Windows下面运行 *** :

解压nacos-server-2.0.0-ALPHA.1.tar.gz

访问cd nacos-server-2.0.0-ALPHA.1 acos\bin

运行.\startup.cmd -m standalone

Linux 下面运行 *** :

解压tar -zxvf nacos-server-2.0.0-ALPHA.1.tar.gz

访问cd nacos-server-2.0.0-ALPHA.1 acos\bin

运行https://www.freebuf.com/articles/web/startup.sh -m standalone

笔者在Windows下面测试运行后如下:

能够看到Console为访问地址http://192.168.189.1:8848/nacos/index.html#/login。

到这步表示环境搭建成功。

漏洞复现

通过默认用户名和密码nacos/nacos登录系统。

选择权限控制->用户列表->角色列表->创建用户。

咱们在添加用户时候进行抓包,将数据包之中accessToken值和属性进行删除。

通过发包器进行发送,得到成功的响应提示。

在刷新界面之后,成功添加test2用户,用户密码为test2。

同理在用户密码重置功能,能够前台重置任意用户密码。

其他功能也会存在同样类型问题。

漏洞分析

这个问题是权限控制模块还没开发完成。

在这里已经说到相关问题https://github.com/alibaba/nacos/issues/1105。

修复建议

在权限控制开发完成之前更好不要对非信任 *** 开放平台。

开发完成之后抓紧更新修复该问题。

相关文章

找上海熟女伴游服务项目-【许雪萍】

“找上海熟女伴游服务项目-【许雪萍】” 九江空中小姐免费看图预定休重:53KG一线城市:成都市、杭州市、重庆市、武汉市、苏州市、西安市、天津市、南京市、郑州市、长沙市、沈阳市、青岛市、宁波市、东莞市和...

设计沉思录丨场景化分析设计赋能招聘B端业务发展

设计沉思录丨场景化分析设计赋能招聘B端业务发展

场景化阐明可以让设计师直击用户痛点,发明精准的用户体验问题,从而通过精准的问题界说明晰的设计方针。 01 媒介 跟着即时通讯的飞速成长,人与人之间的相同方法已经完全习惯于线上的场景。对付五大民生之一...

狗狗不吃东西怎么办(狗狗不吃东西是什么原因

狗狗不吃东西怎么办(狗狗不吃东西是什么原因

狗狗不吃东西有时可能没事,调节下食物,过几天就好了;但有时候可能是生病了,就需要对症治疗。当然,这只是一个大概的说法,那么,详细来说狗狗不吃东西到底是怎么回事?该怎么办能有效解决问题?下面我为大家详细...

qq里找的黑客帮忙弄密码靠谱吗-黑客可以帮忙找回扣扣吗(帮忙找回qq密码的黑客价格便宜)

qq里找的黑客帮忙弄密码靠谱吗-黑客可以帮忙找回扣扣吗(帮忙找回qq密码的黑客价格便宜)

qq里找的黑客帮忙弄密码靠谱吗相关问题 黑客控制手机摄像头可以录像吗相关问题 安琪拉少女黑客如何获得 喀土穆天气(苏丹喀土穆)...

老婆的微信能监控吗老婆的微信能监控吗

很多家长依旧热衷给孩子做检查。秃枕、出牙晚、哭闹、不爱吃饭、经常感冒……总之孩子一有点不适,就和缺微量元素挂上钩。这微量元素真的那么厉害吗?孩子平日里这些所有的问题,都是微量元素惹的祸吗?下面友谊长存...

2018今年是什么年,今年属什么生肖!

2018今年是什么年,今年属什么生肖!

自古以来,人们非常注重孩子的生肖。不过生肖的划分是有规定的。那么2018年是什么生肖年?2018年出生属什么生肖?下面和小编了解下! 2018年是什么生肖年 根据万年历得出 2018年1月1...